Cisco Cisco AnyConnect Secure Mobility Client v3.x Administrator's Guide

过程

步骤 1 在证书颁发机构服务器上，启动注册表编辑器。 您可以通过选择 Start（开始） > Run（运行），键

入 regedit 并点击 OK（确定）来执行此操作。

步骤 2 导航到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\EnforcePassword。

如果 EnforcePassword 键不存在，请将其创建为新键。

步骤 3 编辑 EnforcePassword，并将其设置为“0”。 如果不存在，请将其创建为 REG-DWORD。

步骤 4 退出 regedit，然后重新引导证书颁发机构服务器。

在证书颁发机构上设置 SCEP 模板

以下步骤说明如何创建证书模板，并将其指定为默认的 SCEP 模板。

过程

步骤 1 启动 Server Manager（服务器管理器）。 可通过选择 Start（开始）> Admin Tools（管理工具）>

Server Manager（服务器管理器）执行此操作。

步骤 2 Expand Roles（扩展角色）> Certificate Services（证书服务）（或 AD Certificate Services（AD 证书

服务））。

步骤 3 导航到 CA Name（CA 名称）> Certificate Templates（证书模板）。

步骤 4 右键点击 Certificate Templates（证书模板）> Manage（管理）。

步骤 5 从 Cert Templates Console（证书模板控制台）中，右键点击 User（用户）模板并选择 Duplicate（复

制）

步骤 6 为新模板选择 Windows Server 2008 version（Windows Server 2008 版本），然后点击 OK（确定）。

步骤 7 将模板显示名称改为描述性名称，例如 NDES-IPSec-SSL。

步骤 8 调整站点的 Validity Period（有效期）。 大多数站点会选择三年或更长以避免证书过期。

步骤 9 在 Cryptography（加密）选项卡中，为您的部署设置最小密钥长度。

步骤 10 在 Subject Name（主题名称）选项卡中，选择 Supply in Request（根据请求提供）。

步骤 11 在 Extensions（扩展）选项卡中，将 Application Policies（应用策略）设置为至少包括：

• 客户端身份验证

• IP 安全终端系统

• IP 安全 IKE 中间证书

• IP 安全隧道终止

• IP 安全用户

这些值对于 SSL 或 IPsec 有效。

   Cisco AnyConnect 安全移动客户端管理员指南，4.0 版

配置 VPN 接入

配置证书注册