Cisco Cisco ASA 5515-X Adaptive Security Appliance 디자인 가이드

 

 

Design Guide 

All contents are Copyright © 1992–2007 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. 

Page 1 of 53 

Using the Common Access Card for Remote Access VPN 
with the ASA 5500 

The Department of Defense (DoD) has implemented the Common Access Card (CAC) for all user 

authentications. Beginning in the summer of 2006, the CAC is mandatory for user authentication. 

Most DoD installations have converted their Active Directories to accept the CAC for user logons. 

This paper details the steps necessary to enable ASA 5500 support for the DoD Common Access 

Card (CAC) when it is integrated with Active Directory (AD) to provide Smart Card Logon. When 

Smart Card Logon is enabled, several challenges are presented as the typical authentication and 

authorization credentials are eliminated. In its place, only certificate-based authentication can be 

used to allow the Adaptive Security Appliance (ASA) to permit users to remotely access Virtual 

Private Network (VPN). This white paper focuses on implementing all of the functionality natively 

on the ASA 5500 with the Cisco VPN Client. Other solutions exist or may be possible using Layer 

2 Tunneling Protocol/IP Security (L2TP/IPSec) with the Microsoft Client, or by introducing Remote 

Authentication Dial-In User Service (RADIUS) to provide the authorization functions. 

This document focuses on the basic configuration settings for enabling CAC Authentication on the 

ASA 5500. The ASA 5500 provides a multitude of additional features that should be explored to 

further enhance the end-user experience and to help secure the DoD Enterprise. For more 

information on the advanced configuration settings on the ASA 5500, visit 

http://www.cisco.com/en/US/products/ps6120/products_configuration_guide_book09186a00806a6

1b0.html

. 

Public Key Infrastructure (PKI) offers a scalable method of securing networks, reducing 

management overhead, and simplifying the deployment of network infrastructures by deploying 

security protocols including IPSec, Secure Shell (SSH), and Secure Socket Layer (SSL). 

PKI is a system that manages encryption keys and identity information for the human and 

mechanical components of a network that participates in secured communications.  

For a person or a piece of equipment to enroll in a PKI, the software on a user's computer 

generates a pair of encryption keys that will be used in secured communications: a public and a 

private key. In the case of the Common Access Card, the keys and certificates are stored on the 

CAC Smart Card. 

The private key is never distributed or revealed. Conversely, the public key is freely distributed to 

any party that negotiates a secure communication. During the enrollment process (as shown in 

Figure 1), the user's public key is sent in the certificate request to the Certificate Authority (CA), 

which is responsible for the portion of the organization to which that entity belongs. The user sends 

the public key to the registration component of the CAs. Subsequently, the administrator approves 

the request and the CA generates the user's certificate. After the user receives a certificate and