Cisco Cisco AnyConnect Secure Mobility Client v3.x Administrator's Guide
如果用户在 AnyConnect 的 Advanced(高级)> VPN > Preferences(首选项)中选中 Block
connections to untrusted servers(阻止与不受信任服务器的连接),或者用户的配置满足准则和
限制部分下描述的模式列表中的条件之一,则 AnyConnect 将拒绝无效服务器证书。
connections to untrusted servers(阻止与不受信任服务器的连接),或者用户的配置满足准则和
限制部分下描述的模式列表中的条件之一,则 AnyConnect 将拒绝无效服务器证书。
注释
改进的安全行为
客户端接受无效服务器证书时,该证书保存在客户端的证书存储区中。 以前,仅保存证书的拇指指
纹验证。 请注意,仅当用户选择始终信任并导入无效服务器证书时,才保存无效证书。
纹验证。 请注意,仅当用户选择始终信任并导入无效服务器证书时,才保存无效证书。
不会出现管理权限改写而自动导致最终用户安全性降低的情况。 要完全删除最终用户先前的安全决
策,请在用户的本地策略文件中启用 Strict Certificate Trust(严格证书信任)。 启用 Strict Certificate
Trust(严格证书信任)后,用户将看到一条错误消息,并且连接失败;没有用户提示。
策,请在用户的本地策略文件中启用 Strict Certificate Trust(严格证书信任)。 启用 Strict Certificate
Trust(严格证书信任)后,用户将看到一条错误消息,并且连接失败;没有用户提示。
有关在本地策略文件中启用 Strict Certificate Trust(严格证书信任)的信息,请参阅
中的 AnyConnect 本地策略参数和值一节。
指南和限制
在以下情况下将拒绝无效服务器证书:
• AnyConnect VPN 客户端配置文件启用了 Always On(始终在线),并且应用的组策略或 DAP
未将其关闭。
• 客户端的本地策略启用了 Strict Certificate Trust(严格证书信任)。
• AnyConnect 配置为在登录前启动。
• 使用机器证书存储区中的客户端证书进行身份验证。
配置仅证书身份验证
您可以指定是要用户使用 AAA 通过用户名和密码验证身份,还是使用数字证书验证(或同时使用两
种方式)。 配置仅证书身份验证时,用户可以使用数字证书进行连接,不需要提供用户 ID 和密码。
种方式)。 配置仅证书身份验证时,用户可以使用数字证书进行连接,不需要提供用户 ID 和密码。
为了在使用多个组的环境中支持仅证书身份验证,您可以配置多个组 URL。 每个组 URL 包含一个
不同的客户端配置文件,其中包含一些定制数据,以允许创建特定于组的证书映射。 例如,可在
不同的客户端配置文件,其中包含一些定制数据,以允许创建特定于组的证书映射。 例如,可在
ASA 上调配工程部的 Department_OU 值,以便在此过程中的证书显示给 ASA 时将用户放入此组。
用于向安全网关验证客户端身份的证书必须有效且受信任(由 CA签署)。不接受自签客户端证
书。
书。
注释
Cisco AnyConnect 安全移动客户端管理员指南,4.0 版
117
配置 VPN 接入
配置仅证书身份验证