Cisco Cisco AnyConnect Secure Mobility Client v4.x Administrator's Guide
配置证书选择
以下步骤显示 AnyConnect 配置文件中可以配置证书搜索方式的所有位置,以及在客户端系统中选择
证书的方式。 这些都不是必须执行的步骤,如果您未指定任何条件,AnyConnect 将使用默认密钥匹
配。
证书的方式。 这些都不是必须执行的步骤,如果您未指定任何条件,AnyConnect 将使用默认密钥匹
配。
AnyConnect 读取 Windows 上的浏览器证书存储区。 对于 Mac 和 Unix,必须创建 Privacy Enhanced
Mail (PEM) 格式的文件存储。
过程
步骤 1 仅限 Windows:
配置要使用的 Windows 证书存储区 ,第 126 页
在 VPN 客户端配置文件中指定 AnyConnect 使用的证书存储区。
步骤 2 仅限 Windows:
提示 Windows 用户选择身份验证证书 ,第 127 页
配置 AnyConnect,为用户显示有效的证书列表,让他们选择证书以对会话进行身份验证。
步骤 3 对于 Mac 和 Linux 环境:
为 Mac 和 Linux 创建 PEM 证书存储区 ,第 128 页
步骤 4 对于 Mac 和 Linux 环境:在 VPN 本地策略配置文件中选择要排除的证书存储区。
步骤 5
配置证书匹配 ,第 129 页
配置 AnyConnect 在存储区中搜索证书时尝试匹配的密钥。 您可以指定密钥、扩展密钥,并添加定
制扩展密钥。 还可以使用可分辨名称指定 AnyConnect 匹配的运算符值模式。
制扩展密钥。 还可以使用可分辨名称指定 AnyConnect 匹配的运算符值模式。
配置要使用的 Windows 证书存储区
Windows 为本地计算机和当前用户提供单独的证书存储区。 在 VPN 客户端配置文件中指定 AnyConnect
使用的证书存储区。 默认情况下,它同时搜索两者,但是您可以将 AnyConnect 配置为只使用一个
存储。
使用的证书存储区。 默认情况下,它同时搜索两者,但是您可以将 AnyConnect 配置为只使用一个
存储。
拥有计算机管理权限的用户有权访问两个证书存储区。 没有管理权限的用户只能访问用户证书存储
区。 通常,Windows 用户不具备管理权限。 选择 Certificate Store Override 将允许 AnyConnect 访
问计算机存储区,即使在用户没有管理权限时也是如此。
区。 通常,Windows 用户不具备管理权限。 选择 Certificate Store Override 将允许 AnyConnect 访
问计算机存储区,即使在用户没有管理权限时也是如此。
计算机存储区的访问控制会因 Windows 版本和安全设置而异。 因此,即使用户具备管理权限,
也可能无法使用计算机存储区中的证书。 在此情况下,选择 Certificate Store Override 可允许访
问计算机存储区。
也可能无法使用计算机存储区中的证书。 在此情况下,选择 Certificate Store Override 可允许访
问计算机存储区。
注释
下表描述 AnyConnect 如何基于搜索何种 Certificate Store 以及是否选中 Certificate Store Override
从而在 Windows 客户端中搜索证书。
从而在 Windows 客户端中搜索证书。
Cisco AnyConnect 安全移动客户端管理员指南,4.1 版
126
配置 VPN 接入
配置证书选择