Cisco Cisco AnyConnect Secure Mobility Client v2.x Administrator's Guide
证书颁发机构要求
• 支持所有符合 SCEP 的 CA,包括 IOS CS、Windows Server 2003 CA 和 Windows Server 2008
CA。
• CA 必须处于自动授予模式;不支持证书轮询。
• 您可以将某些 CA 配置为将注册密码用邮件发送给用户,以增加一层安全保护。 CA 密码是发
送到证书颁发机构来识别用户的质询密码或令牌。 然后,密码被配置在 AnyConnect 客户端配
置文件中,此配置文件成为授予证书之前 CA 验证的 SCEP 请求的一部分。 如果使用手动传统
SCEP 注册,我们建议您在客户端配置文件中启用 CA 密码。
置文件中,此配置文件成为授予证书之前 CA 验证的 SCEP 请求的一部分。 如果使用手动传统
SCEP 注册,我们建议您在客户端配置文件中启用 CA 密码。
证书注册指南
• 对 ASA 的无客户端(基于浏览器的)VPN 访问不支持 SCEP 代理,但 WebLaunch(无客户端
发起的 AnyConnect)支持 SCEP 代理。
• ASA 负载均衡支持通过 SCEP 注册。
• ASA 并不指出注册失败的原因,尽管它记录从客户端收到的请求。 必须在 CA 或客户端上调试
连接问题。
• ASA 上的仅通过证书身份验证和证书映射:
为了在使用多个组的环境中支持仅通过证书身份验证,您可以配置多个组 URL。 每个组 URL
包含一个不同的客户端配置文件,其中包含一些定制数据,以允许创建特定于组的证书映射。
例如,会在 ASA 上配置 Engineering 的 Department_OU 值,以便当来自此进程的证书呈现给
ASA 时将用户放入此隧道组中。
包含一个不同的客户端配置文件,其中包含一些定制数据,以允许创建特定于组的证书映射。
例如,会在 ASA 上配置 Engineering 的 Department_OU 值,以便当来自此进程的证书呈现给
ASA 时将用户放入此隧道组中。
• 识别注册连接应用策略。
在 ASA 上,aaa.cisco.sceprequired 属性可用于捕获注册连接和在选择的 DAP 记录中应用适当的
策略。
策略。
• Windows 证书警告:
Windows 客户端在首次尝试从证书颁发机构获得证书时可能收到一条警告。 出现提示时,用户
必须点击 Yes。 这会允许他们导入根证书。 它不影响他们使用客户端证书进行连接。
必须点击 Yes。 这会允许他们导入根证书。 它不影响他们使用客户端证书进行连接。
Cisco AnyConnect 安全移动客户端管理员指南,4.1 版
120
配置 VPN 接入
配置证书注册