Cisco Cisco AnyConnect Secure Mobility Client v3.x Administrator's Guide
4
如果 SCEP 注册成功,则客户端向用户显示一条(可配置的)消息,并断开当前会话连接。 现
在,用户即可使用证书身份验证连接到 ASA 隧道组。
在,用户即可使用证书身份验证连接到 ASA 隧道组。
如果 SCEP 注册失败,客户端会向用户显示一条(可配置)消息并断开当前会话连接。 用户应与
其管理员联系。
其管理员联系。
其他 SCEP 代理操作注意事项:
• 如果进行了相应的配置,则客户端将在证书过期之前自动续订,无需用户干预。
• SCEP 代理注册使用 SSL 进行 SSL 和 IPsec 隧道证书身份验证。
传统 SCEP 注册和操作
以下步骤说明当 AnyConnect 配置为传统 SCEP 时如何获取证书以及如何建立基于证书的连接。
1
当用户使用为证书身份验证配置的隧道组发起与 ASA 头端的连接时,ASA 向客户端请求证书进
行身份验证。
行身份验证。
2
客户端未提供有效证书。 无法建立连接。 证书失败表明需要进行 SCEP 注册。
3
用户必须使用为 AAA 身份验证配置的隧道组(其地址必须与客户端配置文件中配置的自动 SCEP
主机相匹配)发起与 ASA 头端的连接。 ASA 向客户端请求 AAA 凭证。
主机相匹配)发起与 ASA 头端的连接。 ASA 向客户端请求 AAA 凭证。
4
客户端显示一个对话框供用户输入 AAA 凭证。
如果客户端配置为手动注册而且客户端知道其需要发起 SCEP 注册(请参阅步骤 2),在凭证对
话框中将显示 Get Certificate 按钮。 如果客户端可直接访问用户网络上的 CA,用户在此时将能
够通过点击此按钮来手动获取证书。
话框中将显示 Get Certificate 按钮。 如果客户端可直接访问用户网络上的 CA,用户在此时将能
够通过点击此按钮来手动获取证书。
如果对 CA 的访问依赖于要建立的 VPN 隧道,则此时手动注册无法完成,因为当前未建立 VPN
隧道(AAA 凭证尚未输入)。
隧道(AAA 凭证尚未输入)。
注释
5
用户输入 AAA 凭证并建立 VPN 连接。
6
客户端知道其需要发起 SCEP 注册(请参阅步骤 2)。 它通过已建立的 VPN 隧道向 CA 发起注册
请求,并从 CA 接收响应。
请求,并从 CA 接收响应。
7
如果 SCEP 注册成功,则客户端向用户显示一条(可配置的)消息,并断开当前会话连接。 现
在,用户即可使用证书身份验证连接到 ASA 隧道组。
在,用户即可使用证书身份验证连接到 ASA 隧道组。
如果 SCEP 注册失败,客户端会向用户显示一条(可配置)消息并断开当前会话连接。 用户应与
其管理员联系。
其管理员联系。
其他传统 SCEP 操作注意事项:
• 如果客户端配置为手动注册并且满足 Certificate Expiration Threshold 值,Get Certificate 按钮
会显示在出现的隧道组选择对话框中。 用户可以通过点击此按钮来手动续订证书。
• 如果证书过期且客户端不再有有效证书,客户端将重复传统 SCEP 注册过程。
Cisco AnyConnect 安全移动客户端管理员指南,4.1 版
119
配置 VPN 接入
配置证书注册