Cisco Cisco AnyConnect Secure Mobility Client v3.x Administrator's Guide
移动设备的安全网关身份验证
建立 VPN 连接时,AnyConnect 将使用从安全网关接收的数字证书来验证服务器的身份。 如果服务
器证书无效(因过期或日期无效、密钥使用错误或名称不匹配导致证书错误),或证书不受信任(证
书无法由证书颁发机构验证),抑或同时出现上述两种情况,则连接将被阻止。 此时将显示一条阻
止消息,用户必须选择如何处理。
器证书无效(因过期或日期无效、密钥使用错误或名称不匹配导致证书错误),或证书不受信任(证
书无法由证书颁发机构验证),抑或同时出现上述两种情况,则连接将被阻止。 此时将显示一条阻
止消息,用户必须选择如何处理。
Block Untrusted Servers 应用设置确定 AnyConnect 在无法识别安全网关时的响应方式。 默认情况下
开启此保护;用户可关闭此保护,但不建议这样做。
开启此保护;用户可关闭此保护,但不建议这样做。
当 Block Untrusted Servers 开启后,将向用户显示一条 Untrusted VPN Server 阻止通知,告知此安
全威胁。 用户可选择:
全威胁。 用户可选择:
• Keep Me Safe 以终止此连接,保持安全。
• Change Settings 以关闭 Block Untrusted Servers 应用首选项,但不建议这样做。 用户禁用此安
全保护功能后,必须重新初始化 VPN 连接。
当 Block Untrusted Servers 关闭后,将向用户显示一条 Untrusted VPN Server 取消阻止通知,告知
此安全威胁。 用户可选择:
此安全威胁。 用户可选择:
• Cancel 以取消连接并保持安全。
• Continue 以继续连接,但不建议这样做。
• View Details 以查看证书详细信息,更直观地判断证书的可接受性。
如果用户正在查看的证书有效但不受信任,则用户可以:
选择 Import and Continue 将服务器证书导入 AnyConnect 证书存储区供以后使用,并继续
连接。
连接。
当此证书导入 AnyConnect 存储区后,使用此数字证书与服务器建立的后续连接将被自动
接受。
接受。
返回上一屏幕并选择 Cancel 或 Continue。
如果证书因任何原因无效,用户只能返回上一屏幕并选择 Cancel 或 Continue。
最安全的网络 VPN 连接配置是:将 Block Untrusted Servers 设置为 ON,在安全网关上配置有效、受
信任的服务器证书,并指示移动用户始终选择 Keep Me Safe。
信任的服务器证书,并指示移动用户始终选择 Keep Me Safe。
移动设备上的客户端身份验证
要完成 VPN 连接,用户必须提供用户名和密码、数字证书或这两种形式的凭证进行身份验证。 管
理员可以定义隧道组上的身份验证方法。 为了保证在移动设备上提供最佳用户体验,思科建议根据
身份验证配置情况使用多个 AnyConnect 连接配置文件。 您必须确定平衡用户体验和安全的最佳方
法。 我们的建议如下:
理员可以定义隧道组上的身份验证方法。 为了保证在移动设备上提供最佳用户体验,思科建议根据
身份验证配置情况使用多个 AnyConnect 连接配置文件。 您必须确定平衡用户体验和安全的最佳方
法。 我们的建议如下:
Cisco AnyConnect 安全移动客户端管理员指南,4.1 版
209
移动设备上的 AnyConnect
移动设备的安全网关身份验证