Cisco Cisco AnyConnect Secure Mobility Client v3.x Administrator's Guide
配置证书选择
以下步骤显示 AnyConnect 配置文件中可以配置证书搜索方式的所有位置,以及在客户端系统中如何
选择证书。 这些都不是必须执行的步骤,如果您未指定任何条件,AnyConnect 将使用默认密钥匹
配。
选择证书。 这些都不是必须执行的步骤,如果您未指定任何条件,AnyConnect 将使用默认密钥匹
配。
AnyConnect 读取 Windows 上的浏览器证书存储区。 对于 Mac 和 Unix,必须创建 Privacy Enhanced
Mail (PEM) 格式的文件存储。
过程
步骤 1 仅限 Windows:
配置要使用的 Windows 证书存储区 ,第 126 页
在 VPN 客户端配置文件中指定 AnyConnect 使用的证书存储区。
步骤 2 仅限 Windows:
提示 Windows 用户选择身份验证证书 ,第 127 页
配置 AnyConnect 为用户显示有效的证书列表,让他们选择证书以对会话进行身份验证。
步骤 3 对于 Mac 和 Linux 环境:
为 Mac 和 Linux 创建 PEM 证书存储区 ,第 128 页
步骤 4 对于 Mac 和 Linux 环境:在 VPN 本地策略配置文件中选择要排除的证书存储区。
步骤 5
配置证书匹配 ,第 129 页
配置 AnyConnect 在存储中搜索证书时尝试匹配的密钥。 您可以指定密钥、扩展密钥,并添加定制
扩展密钥。 还可以使用可分辨名称指定 AnyConnect 匹配的运算符值模式。
扩展密钥。 还可以使用可分辨名称指定 AnyConnect 匹配的运算符值模式。
配置要使用的 Windows 证书存储区
Windows 为本地机器和当前用户提供单独的证书存储区。 在 VPN 客户端配置文件中指定 AnyConnect
使用的证书存储区。 默认情况下,它同时搜索两者,但是您可以将 AnyConnect 配置为只使用一个
存储。
使用的证书存储区。 默认情况下,它同时搜索两者,但是您可以将 AnyConnect 配置为只使用一个
存储。
计算机中拥有管理权限的用户可以访问这两个证书存储区。 没有管理权限的用户只能访问用户证书
存储区。 通常,Windows 用户不具备管理权限。 选择 Certificate Store Override(证书存储区覆盖)
将允许 AnyConnect 访问机器存储,即使在用户没有管理权限时也是如此。
存储区。 通常,Windows 用户不具备管理权限。 选择 Certificate Store Override(证书存储区覆盖)
将允许 AnyConnect 访问机器存储,即使在用户没有管理权限时也是如此。
机器存储的访问控制会因 Windows 版本和安全设置而异。 因此,即使用户具备管理权限,也可
能无法使用机器存储中的证书。 在此情况下,选择 Certificate Store Override(证书存储区覆
盖)以允许访问机器存储。
能无法使用机器存储中的证书。 在此情况下,选择 Certificate Store Override(证书存储区覆
盖)以允许访问机器存储。
注释
下表描述 AnyConnect 如何基于搜索何种 Certificate Store(证书存储区)以及是否选中 Certificate
Store Override(证书存储区覆盖)在 Windows 客户端中搜索证书。
Store Override(证书存储区覆盖)在 Windows 客户端中搜索证书。
Cisco AnyConnect 安全移动客户端管理员指南,4.0 版
126
配置 VPN 接入
配置证书选择