Cisco Cisco AnyConnect Secure Mobility Client v3.x Administrator's Guide
3
ASA 将注册请求转发到 CA,并将 CA 的响应返回客户端。
4
如果 SCEP 注册成功,则客户端向用户显示一条(可配置的)消息,并中断当前会话。 现在,用
户即可使用证书身份验证连接到 ASA 隧道组。
户即可使用证书身份验证连接到 ASA 隧道组。
如果 SCEP 注册失败,则客户端将向用户显示一条(可配置的)消息,并中断当前会话。 用户应
与其管理员联系。
与其管理员联系。
其他 SCEP 代理操作注意事项:
• 如果进行了相应的配置,则客户端将在证书过期之前自动续订,无需用户干预。
• SCEP 代理注册使用 SSL 进行 SSL 和 IPsec 隧道身份验证。
传统 SCEP 注册和操作
以下步骤说明当 AnyConnect 配置为传统 SCEP 时如何获取证书以及如何建立基于证书的连接。
1
当用户使用为证书身份验证配置的隧道组发起与 ASA 头端的连接时,ASA 向客户端请求证书进
行身份验证。
行身份验证。
2
客户端未提供有效证书。 无法建立连接。 证书失败表明需要进行 SCEP 注册。
3
用户必须使用为 AAA 身份验证配置的隧道组(其地址必须与客户端配置文件中配置的自动 SCEP
主机相匹配)发起与 ASA 头端的连接。 ASA 向客户端请求 AAA 凭证。
主机相匹配)发起与 ASA 头端的连接。 ASA 向客户端请求 AAA 凭证。
4
客户端显示一个对话框供用户输入 AAA 凭证。
如果客户端配置为手动注册而且客户端知道其需要发起 SCEP 注册(请参阅步骤 2),在凭证对
话框中将显示 Get Certificate(获取证书)按钮。 如果客户端可直接访问用户网络上的 CA,用
户在此时将能够通过点击此按钮来手动获取证书。
话框中将显示 Get Certificate(获取证书)按钮。 如果客户端可直接访问用户网络上的 CA,用
户在此时将能够通过点击此按钮来手动获取证书。
如果对 CA 的访问依赖于要建立的 VPN 隧道,则此时手动注册无法完成,因为当前未建立 VPN
隧道(AAA 凭证尚未输入)。
隧道(AAA 凭证尚未输入)。
注释
5
用户输入 AAA 凭证并建立 VPN 连接。
6
客户端知道其需要发起 SCEP 注册(请参阅步骤 2)。 它通过已建立的 VPN 隧道向 CA 发起注册
请求,并从 CA 接收响应。
请求,并从 CA 接收响应。
7
如果 SCEP 注册成功,则客户端向用户显示一条(可配置的)消息,并中断当前会话。 现在,用
户即可使用证书身份验证连接到 ASA 隧道组。
户即可使用证书身份验证连接到 ASA 隧道组。
如果 SCEP 注册失败,则客户端将向用户显示一条(可配置的)消息,并中断当前会话。 用户应
与其管理员联系。
与其管理员联系。
其他传统 SCEP 操作注意事项:
• 如果客户端配置为手动注册并且满足 Certificate Expiration Threshold(证书过期阈值)值,
Get Certificate(获取证书)按钮会显示在出现的隧道组选择对话框中。 用户可以通过点击此
按钮来手动更新证书。
按钮来手动更新证书。
Cisco AnyConnect 安全移动客户端管理员指南,4.0 版
119
配置 VPN 接入
配置证书注册