ASA5525-X+MS CA Windows Server 2012R2 — 2-хфакторная аутентифікація

Для проходження атестації на відповідність вимогам стандарту PCI DSS треба було налаштувати 2-х факторну аутентифікацію. А так як у нас в якості фаєрволу використовується рішення від Cisco, то вирішили його і використовувати… Здавалося б нічого складного, — все вже давно вивчено і не один раз налаштований та легко можна знайти необхідні інструкції, наприклад, ці:
Керівництво по лабораторії тестування: розгортання дворівневої ієрархії інфраструктури відкритих ключів служб сертифікації Active Directory
CISCO: Configuring Digital Certificates
Cisco ASA with Radius and Certificates for Two-Factor Authentication (using a Microsoft CA)
але, як зазвичай і буває з подібними «універсальними» інструкціями — тонкощі вони не враховують, а це якраз і займає більшу частину часу, при розгортанні. про ці моменти мені як раз і хочеться вам розповісти. сподіваюся, це дозволить вам заощадити масу часу!

Першим неприємним моментом оказолось те, що Offline Root CA видав сертифікат для Subordinate Issuing CA терміном на 1 рік(!) і це незважаючи на заздалегідь створений CAPolicy.inf:
[Version]
Signature="$Windows NT$"
[PolicyStatementExtension]
Policies=InternalPolicy
[InternalPolicy]
OID= 1.2.3.4.1455.67.89.5
Notice="Legal Policy Statement"
URL=http://www.contoso.com/pki/cps.txt
[Certsrv_Server]
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=20
CRLPeriod=weeks
CRLPeriodUnits=26
CRLDeltaPeriod=Days
CRLDeltaPeriodUnits=0
LoadDefaultTemplates=0
AlternateSignatureAlgorithm=1

Тому уважно перевіряйте термін дії сертифіката і якщо він виданий на 1 рік, — відразу міняйте. Змінити можна так:
Натисніть кнопку Пуск і виберіть команду Виконати.
У поле Відкрити уведіть команду regedit і натисніть кнопку ОК.
Знайдіть і виберіть такий підрозділ реєстру:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\ < Имя_цс >
У правій області клацніть двічі ValidityPeriod.
У полі значення введіть введіть одну з наступних дій і натисніть кнопку ОК:
Днів
Тижні
Місяців
Років
.
У правій області клацніть двічі ValidityPeriodUnits.
У полі значення введіть числове значення, яке потрібно і натисніть кнопку ОК. Наприклад введіть 2.
Зупиніть і перезавантажте служби сертифікації. Для цього:
Натисніть кнопку Пуск і виберіть команду Виконати.
У полі Відкрити введіть тип cmd, натисніть кнопку ОК.
У командному рядку введіть наступні команди. Натисніть клавішу ENTER після кожного рядка.
certsvc net stop
net start certsvc

Введіть exit для виходу з командного рядка.


А ще грубою помилкою було ігнорування попередження від Microsoft:

Увага-Увага
Клієнти сертифікатів під управлінням Windows XP і Windows Server 2003 не підтримують альтернативний алгоритм підпису. Щоб такі клієнти могли подавати заявки на сертифікати, не додавайте рядок AlternateSignatureAlgorithm=1 в файл CAPolicy.inf. Додаткові відомості див. у розділі Рекомендації по використанню альтернативних форматів підпису.
Тому — приберіть з CAPolicy.inf рядок AlternateSignatureAlgorithm=1, інакше отримаєте проблему з встановленням сертифікатів на ASA: Microsoft CA RSASSA-PSS Algorithm Issue with ASA
Вирішується зміною параметрів в реєстрі:
Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\%Your_CA_Name%\CSP]
«ProviderType»=dword:00000000
«Provider»=«Microsoft Software Key Storage Provider»
«HashAlgorithm»=dword:00008004
«CNGPublicKeyAlgorithm»=«RSA
«CNGHashAlgorithm»=«SHA1»
«AlternateSignatureAlgorithm»=dword:00000001
«MachineKeyset»=dword:00000001

і перевипуском всіх сертифікатів.

Ну і нарешті, третій момент був пов'язаний з налаштуванням параметрів SSL ASA, а саме TLS V1 і соотв. Cipher (версій і алгоритмів). На момент розгортання інфраструктури PKI у нас була встановлена прошивка asa911-smp-k8, яка не дозволяла це нормально налаштувати. Прийняли рішення оновитися на версію asa941-smp-k8, але знову не зовсім уважно прочитали порядку оновлення конфігурації. отримали ось таку дивну помилку:

image

— це при спробі завантажити файл прошивки на залізяку. А всього лише потрібно було спочатку встановити прошивку версії asa912-smp-k8

Сподіваюся, кому-то ці знання й досвід стануть в нагоді. Удачі!

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.