Cisco Cisco AnyConnect Secure Mobility Client v3.x Leaflet
CA에 대한 액세스가 설정된 VPN 터널에 의존하는 경우 현재 설정된 VPN 터널이 없으므로 이 시
점에서는 수동으로 등록할 수 없습니다(AAA 자격 증명을 입력하지 않은 경우).
점에서는 수동으로 등록할 수 없습니다(AAA 자격 증명을 입력하지 않은 경우).
참고
5
사용자가 AAA 자격 증명을 입력하고 VPN 연결을 설정합니다.
6
클라이언트가 SCEP 등록을 시작해야 한다는 것을 알고 있습니다(2단계 참조). 설정된 VPN 터널
을 통해 CA에 등록 요청을 시작하고 CA로부터 응답을 수신합니다.
을 통해 CA에 등록 요청을 시작하고 CA로부터 응답을 수신합니다.
7
SCEP 등록에 성공하면 클라이언트는 구성 메시지를 사용자에게 제공하고 현재 세션과의 연결을
끊습니다. 사용자는 이제 인증서 인증을 사용하여 ASA 터널 그룹에 연결할 수 있습니다.
끊습니다. 사용자는 이제 인증서 인증을 사용하여 ASA 터널 그룹에 연결할 수 있습니다.
SCEP 등록에 실패하면 클라이언트는 구성 메시지를 사용자에게 제공하고 현재 세션과의 연결을
끊습니다. 사용자는 관리자에게 문의해야 합니다.
끊습니다. 사용자는 관리자에게 문의해야 합니다.
기타 레거시 SCEP 운영 고려사항:
• 클라이언트가 수동 등록을 위해 구성되어 있고 Certificate Expiration Threshold(인증서 만료 임
계값)이 충족하면 표시된 터널 그룹 선택 대화 상자에 Get Certificate(인증서 가져오기) 버튼이
표시됩니다. 사용자가 이 버튼을 클릭하여 인증서를 수동으로 갱신할 수 있습니다.
표시됩니다. 사용자가 이 버튼을 클릭하여 인증서를 수동으로 갱신할 수 있습니다.
• 인증서가 만료되고 클라이언트에 더 이상 유효한 인증서가 없는 경우 클라이언트가 레거시 SCEP
등록 프로세스를 반복합니다.
인증 기관 요건
• IOS CS를 포함하여 모든 SCEP 호환 CA, Windows Server 2003 CA 및 Windows Server 2008 CA가
지원됩니다.
• CA는 자동 허용 모드여야 하며 인증서에 대한 폴링은 지원되지 않습니다.
• 일부 CA에서 추가 보안 계층을 위해 사용자에게 등록 비밀번호를 이메일로 보내도록 구성할 수
있습니다. CA 비밀번호는 사용자를 식별하기 위해 인증 기관에 전송되는 시도용 비밀번호 또는
토큰입니다. 그런 다음 AnyConnect 클라이언트 프로파일에서 비밀번호를 구성할 수 있으며 이
프로파일은 CA가 인증서를 허용하기 전에 확인하는 SCEP 요청의 일부가 됩니다. 수동 레거시
SCEP 등록을 사용하는 경우, 클라이언트 프로파일에서 CA 비밀번호를 활성화하는 것이 좋습
니다.
토큰입니다. 그런 다음 AnyConnect 클라이언트 프로파일에서 비밀번호를 구성할 수 있으며 이
프로파일은 CA가 인증서를 허용하기 전에 확인하는 SCEP 요청의 일부가 됩니다. 수동 레거시
SCEP 등록을 사용하는 경우, 클라이언트 프로파일에서 CA 비밀번호를 활성화하는 것이 좋습
니다.
인증서 등록에 대한 지침
• ASA에 대한 클라이언트리스 브라우저 기반의 VPN 액세스에서는 SCEP 프록시를 지원하지 않
습니다. 단 WebLaunch(클라이언트 없이 시작한 AnyConnect)는 지원합니다.
• ASA 부하 균형 기능은 SCEP 등록을 통해 지원됩니다.
• ASA는 클라이언트에서 수신한 요청을 로그하지만 등록이 실패한 원인은 표시하지 않습니다.
연결 문제를 CA 또는 클라이언트에서 디버깅해야 합니다.
Cisco AnyConnect Secure Mobility Client 관리자 설명서, 릴리스 4.0
131
VPN 액세스 구성
인증서 등록 구성