Cisco Cisco AnyConnect Secure Mobility Client v2.x Leaflet

사용자가 AnyConnect Advanced(고급) > VPN > Preferences(환경 설정)에서 Block connections to
untrusted servers(신뢰할 수 없는 연결 차단)의 확인란을 선택하거나 사용자의 구성이 지침 및 제
한 사항 항목 섹션 아래에 설명된 모드 목록 중 한 가지 조건을 충족하는 경우, AnyConnect가 유효
하지 않은 서버 인증서를 거부합니다.

참고

향상된 보안 동작

클라이언트가 올바르지 않은 서버 인증서를 허용하면 해당 인증서가 클라이언트의 인증서 저장소에
저장됩니다. 이전에는 인증서의 지문만 저장되었습니다. 사용자가 유효하지 않은 서버 인증서를 항
상 신뢰하고 가져오도록 선택한 경우에만 유효하지 않은 인증서가 저장됩니다.

엔드 유저의 보안 수준을 자동으로 낮추는 관리 재정의 기능은 없습니다. 엔드 유저의 이전 보안 결
정 사항을 완전히 제거하려면 사용자의 로컬 정책 파일에서 Strict Certificate Trust(엄격한 인증서 신
뢰)를 활성화하십시오. Strict Certificate Trust(엄격한 인증서 신뢰)를 활성화하면 사용자에게 오류 메
시지가 표시되고 연결이 실패하지만 사용자 프롬프트는 표시되지 않습니다.

로컬 정책 파일의 Strict Certificate Trust(엄격한 인증서 신뢰)를 활성화하는 방법에 대한 자세한 내용
은

에서 AnyConnect 로컬 정책 매개

변수 및 값 섹션을 참조하십시오.

지침 및 제한 사항

다음과 같은 경우 유효하지 않은 서버 인증서가 거부됩니다.

• AnyConnect VPN 클라이언트 프로파일에서 Always-On 기능이 활성화되어 있고 적용된 그룹 정

책 또는 DAP로 인해 꺼지지 않습니다.

• 클라이언트에서 로컬 정책의 Strict Certificate Trust(엄격한 인증서 신뢰)가 활성화되어 있습니

다.

• AnyConnect가 로그온 전 시작으로 구성됩니다.

• 컴퓨터 인증서 저장소의 클라이언트 인증서가 인증에 사용됩니다.

인증서 전용 인증 구성

사용자 이름 및 비밀번호가 있는 AAA 또는 디지털 인증서(또는 두 가지 모두)를 사용하여 사용자를
인증할지 여부를 지정할 수 있습니다. 인증서 전용 인증을 구성한 경우 사용자는 디지털 인증서에 연
결할 수 있고 사용자 ID와 비밀번호를 제공할 필요가 없습니다.

여러 그룹을 사용하는 환경에서 인증서 전용 인증을 지원하기 위해 두 개 이상의 그룹 URL을 프로비
저닝할 수 있습니다. 각 그룹 URL에는 그룹별 인증서 맵을 생성할 수 있도록 사용자 지정된 데이터
의 일부 조각이 있는 다양한 클라이언트 프로파일이 포함되어 있습니다. 예를 들어 이 프로세스에서
인증서가 ASA에 제공될 경우 이 그룹에서 사용자를 배치하도록 엔지니어링의 Department_OU 값이
ASA에서 프로비저닝될 수 있습니다.

   Cisco AnyConnect Secure Mobility Client 관리자 설명서, 릴리스 4.0

VPN 액세스 구성

인증서 전용 인증 구성