Cisco Cisco AnyConnect Secure Mobility Client v3.x Administrator's Guide
• 如果证书过期且客户端不再有有效证书,客户端将重复传统 SCEP 注册过程。
证书颁发机构要求
• 支持所有符合 SCEP 的 CA,包括 IOS CS、Windows Server 2003 CA 和 Windows Server 2008
CA。
• CA 必须处于 auto-grant(自动授予)模式;不支持证书轮询。
• 您可以配置某些 CA 将注册密码用电邮发送给用户,以增加一层安全保护。 CA 密码是发送到
证书颁发机构来识别用户的质询密码或令牌。 然后,密码被配置在 AnyConnect 客户端配置文
件中,此配置文件成为授予证书之前 CA 验证的 SCEP 请求的一部分。 如果使用手动传统 SCEP
注册,我们建议您在客户端配置文件中启用 CA 密码。
件中,此配置文件成为授予证书之前 CA 验证的 SCEP 请求的一部分。 如果使用手动传统 SCEP
注册,我们建议您在客户端配置文件中启用 CA 密码。
证书注册指南
• 对 ASA 的无客户端(基于浏览器的)VPN 访问不支持 SCEP 代理,但 WebLaunch(无客户端
发起的 AnyConnect)支持 SCEP 代理。
• SCEP 注册支持 ASA 负载均衡。
• ASA 并不指出注册失败的原因,尽管它记录从客户端收到的请求。 必须在 CA 或客户端上调试
连接问题。
• ASA 上的仅证书身份验证和证书映射:
为了在使用多个组的环境中支持仅证书身份验证,您可以配置多个组 URL。 每个组 URL 包含
一个不同的客户端配置文件,其中包含一些定制数据,以允许创建特定于组的证书映射。 例
如,Engineering(工程)的 Department_OU 值会被调配在 ASA 上,以便当来自此进程的证书
呈现给 ASA 时将用户放入此隧道组中。
一个不同的客户端配置文件,其中包含一些定制数据,以允许创建特定于组的证书映射。 例
如,Engineering(工程)的 Department_OU 值会被调配在 ASA 上,以便当来自此进程的证书
呈现给 ASA 时将用户放入此隧道组中。
• 识别注册连接以应用策略:
在 ASA 上,aaa.cisco.sceprequired 属性可用于捕获注册连接和在选择的 DAP 记录中应用适当的
策略。
策略。
• Windows 证书警告:
Windows 客户端在首次尝试从证书颁发机构获得证书时可能收到一条警告。 出现提示时,用户
必须点击 Yes(是)。 这会允许他们导入根证书。 它不影响他们使用客户端证书进行连接。
必须点击 Yes(是)。 这会允许他们导入根证书。 它不影响他们使用客户端证书进行连接。
Cisco AnyConnect 安全移动客户端管理员指南,4.0 版
120
配置 VPN 接入
配置证书注册