Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Chứng chỉ Định danh (Identity Certificate) trong Remote Access VPN với Cisco FTD

    Trong triển khai Remote Access VPN (RAVPN), thành phần quan trọng đầu tiên là Identity Certificate – chứng chỉ định danh dùng để xác thực thiết bị Cisco Secure Firewall Threat Defense (FTD) với phía client (Cisco Secure Client).
    1. Vai trò của Identity Certificate
    • Khi client VPN kết nối tới FTD (headend), thiết bị này sẽ trình bày chứng chỉ định danh để chứng minh tính hợp lệ của nó.
    • Client sẽ kiểm tra chứng chỉ: nếu chứng chỉ được ký bởi CA tin cậy (Certificate Authority), client mới tin tưởng và tiếp tục quá trình bắt tay VPN.
    • Điều này giúp ngăn chặn các tình huống “man-in-the-middle”, khi attacker dựng một headend giả mạo để đánh cắp thông tin xác thực.

    Trong môi trường production, khuyến nghị:
    • Dùng chứng chỉ được ký bởi CA tin cậy (public CA như DigiCert, VeriSign, hoặc internal CA như Microsoft ADCS).
    • Trường hợp test lab hoặc pilot, có thể dùng self-signed certificate, nhưng bạn phải triển khai chứng chỉ gốc đó cho client để chúng tin tưởng.
    2. Các bước tạo Self-Signed Certificate trên FMC cho FTD
    1. Điều hướng đến chứng chỉ PKI
      • Vào Objects > Object Management > PKI > Cert Enrollment.
      • Chọn Add Cert Enrollment để tạo mới.
    2. Định nghĩa chứng chỉ
      • Đặt tên cho chứng chỉ.
      • Trong tab CA Information, chọn Self-Signed từ danh sách Enrollment Type.
    3. Cấu hình tham số chứng chỉ
      • Vào tab Certificate Parameters.
      • Điền các trường bắt buộc như:
        • Common Name (CN): thường là FQDN hoặc hostname của FTD.
        • Subject Alternative Name (SAN): thêm các giá trị như IP/FQDN mà client sẽ truy cập.
      • Lưu cấu hình (Save).
    4. Gắn chứng chỉ vào thiết bị FTD
      • Vào Device > Certificates.
      • Chọn Device từ drop-down list.
      • Chọn chứng chỉ vừa tạo từ mục Cert Enrollment.
      • Nhấn Add để gắn chứng chỉ cho thiết bị.
    3. Lưu ý khi dùng CA
    • Nếu bạn dùng CA nội bộ hoặc public CA, thay vì chọn Self-Signed, bạn sẽ:
      • Điền thông tin trong CA Information tab.
      • Sinh CSR (Certificate Signing Request).
      • Gửi CSR đến CA để ký và import lại chứng chỉ đã ký vào FTD.

    ✅ Kết quả: Sau bước này, FTD có một Identity Certificate hợp lệ, sẵn sàng trình bày cho Cisco Secure Client khi người dùng từ xa thiết lập VPN.
    Attached Files
    Đặng Quang Minh, CCIE#11897 (Enterprise Infrastructure, Wireless, Automation, AI), CCSI#31417

    Email : dangquangminh@vnpro.org
    https://www.facebook.com/groups/vietprofessional/
    Tags: None
Previous template Next
Working...
X