Cisco Cisco AnyConnect Secure Mobility Client v3.x Administrator's Guide
管理 VPN 身份验证
重要安全注意事项
• 我们不建议在安全网关上使用自签证书,因为用户有可能无意中将浏览器配置为信任非法服务
器上的证书,并且用户在连接到安全网关时必须响应安全警告,这会带来不便。
• 我们强烈建议您为 AnyConnect 客户端启用 Strict Certificate Trust(严格证书信任),原因如下:
• 随着有针对性攻击的日益增多,在本地策略中启用 Strict Certificate Trust(严格证书信任)
有助于防止当用户从不受信任网络(例如公共访问网络)连接时受到“中间人”攻击。
• 即使您使用完全可验证且受信任的证书,默认情况下 AnyConnect 客户端也允许最终用户
接受不可验证的证书。 如果您的最终用户受到中间人攻击,他们可能会被提示接受恶意证
书。 要从您的最终用户删除此决定,请启用 Strict Certificate Trust(严格证书信任)。
书。 要从您的最终用户删除此决定,请启用 Strict Certificate Trust(严格证书信任)。
要配置严格证书信任 ,请参阅
中的本
地策略参数和值一节。
配置服务器证书处理
服务器证书验证
• AnyConnect 客户端不支持使用证书吊销列表 (CRL) 进行证书验证。
很多站点将用来验证服务器证书的证书颁发机构放在企业网络内。 这意味着客户端无法在尝试
连接到头端时验证 CRL,因为客户端无法在公共网络中访问 CRL。 客户端操作系统可配置为
在 Windows 和 Mac OS X 中验证 CRL,但我们不使用该设置。
连接到头端时验证 CRL,因为客户端无法在公共网络中访问 CRL。 客户端操作系统可配置为
在 Windows 和 Mac OS X 中验证 CRL,但我们不使用该设置。
• 当用户连接到使用服务器证书配置的 ASA 时,系统仍将显示表示信任并导入该证书的复选框,
即便信任链(根证书、中间证书等)存在问题也是如此。如果存在其他证书问题,则不显示该
复选框。
复选框。
• 如果使用 FQDN 的初始验证失败,则通过 FQDN 执行的 SSL 连接不会进行第二次服务器证书
验证(包括使用 FQDN 的解析 IP 地址进行名称验证)。
• 如果服务器证书包含“密钥使用”,则 IPsec 和 SSL 连接将要求属性必须不仅包含
DigitalSignature,还包含 KeyAgreement 或 KeyEncipherment。 如果服务器证书包含 EKU,则属
性必须包含 serverAuth(用于 SSL 和 IPsec)或 ikeIntermediate(仅用于 IPsec)。 请注意,接
受 KU 或 EKU 不需要服务器证书。
性必须包含 serverAuth(用于 SSL 和 IPsec)或 ikeIntermediate(仅用于 IPsec)。 请注意,接
受 KU 或 EKU 不需要服务器证书。
• IPsec 连接将对服务器证书执行名称验证。 以下规则适用于 IPsec 名称验证:
如果存在具有相关属性的主题备选名称扩展,则仅对主题备选名称执行名称验证。 相关属
性包括针对所有证书的 DNS 名称属性,此外,如果针对某一 IP 地址执行连接,则还包括
IP 地址属性。
性包括针对所有证书的 DNS 名称属性,此外,如果针对某一 IP 地址执行连接,则还包括
IP 地址属性。
Cisco AnyConnect 安全移动客户端管理员指南,4.0 版
114
配置 VPN 接入
管理 VPN 身份验证