Cisco Cisco AnyConnect Secure Mobility Client v2.x Administrator's Guide

过程

步骤 1 创建用于注册的组策略，例如 cert_enroll_group。 设置以下字段：

在 Advanced > AnyConnect Client 窗格中，取消选中 Inherit for Client Profiles to Download 并指定为
传统 SCEP 配置的客户端配置文件。 例如，指定 ac_vpn_legacy_scep 客户端配置文件。

步骤 2 创建另一个用于授权的组策略，例如 cert_auth_group。

步骤 3 创建用于注册的连接配置文件，例如 cert_enroll_tunnel。 设置以下字段：

• 在 Basic 窗格中，将 Authentication Method 设置为 AAA。

• 在 Basic 窗格中，将 Default Group Policy 设置为 cert_enroll_group。

• 在 Advanced > GroupAlias/Group URL 中，创建一个组 URL，其中包含用于此连接配置文件的

注册组 (cert_enroll_group)。

• 请勿在 ASA 上启用连接配置文件。 没有必要为了使用户具有对组的访问权，而将该组公开给

用户。

步骤 4 创建用于授权的连接配置文件，例如 cert_auth_tunnel。 设置以下字段。

• 在 Basic 窗格中，将 Authentication Method 设置为 Certificate。

• 在 Basic 窗格中，将 Default Group Policy 设置为 cert_auth_group。

• 请勿在 ASA 上启用此连接配置文件。 没有必要为了使用户具有对组的访问权，而将该组公开

给用户。

步骤 5 （可选）在每个组策略的 General 窗格中，将 Connection Profile (Tunnel Group) Lock 设置为相应的

SCEP 连接配置文件，以限制到 SCEP 所配置的连接配置文件的流量。

为 SCEP 设置 Windows 2008 服务器证书颁发机构

如果证书颁发机构软件在 Windows 2008 服务器上运行，您可能需要对服务器做出以下配置更改之
一，以支持 SCEP 与 AnyConnect 一起使用。

在证书颁发机构上禁用 SCEP 密码

以下步骤说明如何禁用 SCEP 质询密码，以便客户端无需在 SCEP 注册之前提供带外密码。

Cisco AnyConnect 安全移动客户端管理员指南，4.1 版

配置 VPN 接入

配置证书注册