Cisco Cisco AnyConnect Secure Mobility Client v2.x Administrator's Guide
配置传统 SCEP 证书注册
为传统 SCEP 注册配置 VPN 客户端配置文件
过程
步骤 1 打开 VPN 配置文件编辑器,从导航窗格中选择 Certificate Enrollment。
步骤 2 选择 Certificate Enrollment。
步骤 3 指定 Automatic SCEP Host 以指示客户端检索证书。
输入 FQDN 或 IP 地址,以及为 SCEP 证书检索配置的连接配置文件(隧道组)的别名。 例如,如
果 asa.cisco.com 是 ASA 的主机名,scep_eng 是连接配置文件的别名,则输入 asa.cisco.com/scep-eng。
果 asa.cisco.com 是 ASA 的主机名,scep_eng 是连接配置文件的别名,则输入 asa.cisco.com/scep-eng。
当用户启动连接时,选择或指定的地址必须与此值完全匹配,传统 SCEP 注册才会成功。 例如,如
果此字段设置为 FQDN,但用户指定 IP 地址,SCEP 注册会失败。
果此字段设置为 FQDN,但用户指定 IP 地址,SCEP 注册会失败。
步骤 4 配置证书颁发机构属性:
CA 服务器管理员可以提供 CA URL 和拇指指纹。 直接从服务器检索拇指指纹,而不是从颁
发的证书中的“fingerprint”或“thumbprint”属性字段检索。
发的证书中的“fingerprint”或“thumbprint”属性字段检索。
注释
a)
指定 CA URL 以识别 SCEP CA 服务器。 输入 FQDN 或 IP 地址。 例如:
http://ca01.cisco.com/certsrv/mscep/mscep.dll。
http://ca01.cisco.com/certsrv/mscep/mscep.dll。
b)
(可选)选中 Prompt For Challenge PW,提示用户输入其用户名和一次性密码。
c)
(可选)输入 CA 证书的指纹验证。 使用 SHA1 或 MD5 哈希值。 例如:
8475B661202E3414D4BB223A464E6AAB8CA123AB
。
步骤 5 配置在注册证书中要请求的 Certificate Contents。 有关证书字段的定义,请参阅
。
如果您使用 %machineid%,在客户端上加载
HostScan/Posture。
HostScan/Posture。
注释
步骤 6 (可选)选中 Display Get Certificate Button 允许用户手动请求调配或续订身份验证证书。 如果证
书身份验证失败,该按钮对用户可见。
步骤 7 (可选)为服务器列表中的特定主机启用 SCEP。 这样会覆盖上述 Certificate Enrollment 窗格中的
SCEP 设置。
a)
从导航窗格中选择 Server List。
b) Add 或 Edit 服务器列表条目。
c)
c)
如上面的步骤 5 和 6 所述,指定 Automatic SCEP Host 和 Certificate Authority 属性。
配置 ASA 以支持传统 SCEP 注册
对于 ASA 上的传统 SCEP,必须创建连接配置文件和组策略以进行证书注册,然后创建另一个连接
配置文件和组策略以进行证书颁发机构的 VPN 连接。
配置文件和组策略以进行证书颁发机构的 VPN 连接。
Cisco AnyConnect 安全移动客户端管理员指南,4.1 版
122
配置 VPN 接入
配置证书注册