Cisco Cisco AnyConnect Secure Mobility Client v4.x Administrator's Guide
本地策略参数和值
以下参数是 VPN 本地策略编辑器中和 AnyConnectLocalPolicy.xml 文件中的元素。 XML 元
素显示在尖括号中。
素显示在尖括号中。
如果您手动编辑此文件并忽略策略参数,则该功能采取默认行为。
注释
• <acversion>
指定能够解释该文件中所有参数的最低版本的 AnyConnect 客户端。 如果客户端运行比此版本
更早的 AnyConnect,则它读取文件时会发出事件日志警告。
更早的 AnyConnect,则它读取文件时会发出事件日志警告。
格式是 acversion="<version number>"。
• FIPS Mode <FipsMode>
为客户端启用 FIPS 模式。 此设置强制客户端仅使用 FIPS 标准批准的算法和协议。
• Bypass Downloader <BypassDownloader>
选择后,禁用 VPNDownloader.exe 模块启动,该模块负责检测本地版本动态内容的存在和更
新。 客户端不检查 ASA 上的动态内容,包括转换、定制、可选模块和核心软件更新。
新。 客户端不检查 ASA 上的动态内容,包括转换、定制、可选模块和核心软件更新。
选中 Bypass Downloader 时,在客户端连接到 ASA 时将发生两种情况之一:
如果 ASA 上的 VPN 客户端配置文件不同于客户端上的 VPN 客户端配置文件,则客户端
将中止连接尝试。
将中止连接尝试。
如果 ASA 上没有 VPN 客户端配置文件,则客户端会建立 VPN 连接,但它使用其硬编码
的 VPN 客户端配置文件设置。
的 VPN 客户端配置文件设置。
如果您在 ASA 上配置 VPN 客户端配置文件,则这些文件必须在客户端连接到
ASA 之前安装在客户端上(BypassDownloader 设置为 true)。 因为配置文件可
以包含管理员定义的策略,所以只在您不依赖于 ASA 来集中管理客户端配置文
件时,才建议将 BypassDownloader 设置为 true。
ASA 之前安装在客户端上(BypassDownloader 设置为 true)。 因为配置文件可
以包含管理员定义的策略,所以只在您不依赖于 ASA 来集中管理客户端配置文
件时,才建议将 BypassDownloader 设置为 true。
注释
• Enable CRL Check<EnableCRLCheck>
仅对 Windows 桌面实现此功能。 对于 SSL 和 IPsec VPN 连接,可以选择执行证书吊销列表
(CRL) 检查。 启用此设置后,AnyConnect 检索链中所有证书的已更新 CRL。 然后,AnyConnect
验证有关证书是否包含在不应再信任的这些已吊销证书中;如果发现该证书已被证书颁发机构
(CRL) 检查。 启用此设置后,AnyConnect 检索链中所有证书的已更新 CRL。 然后,AnyConnect
验证有关证书是否包含在不应再信任的这些已吊销证书中;如果发现该证书已被证书颁发机构
(CA) 吊销,则不进行连接。
默认情况下会禁用 CRL 检查。 仅当选中(或启用)Enable CRL Check 时,AnyConnect 才会执
行 CRL 检查,因此,最终用户可能会观察到以下情况:
行 CRL 检查,因此,最终用户可能会观察到以下情况:
• 如果通过 CRL 吊销证书,即使在 AnyConnect 本地策略文件中禁用 Strict Certificate Turst,
与安全网关的连接也会无条件失败。
Cisco AnyConnect 安全移动客户端管理员指南,4.1 版
82
AnyConnect 配置文件编辑器
本地策略参数和值