Cisco Cisco AnyConnect Secure Mobility Client v4.x Administrator's Guide
配置传统 SCEP 证书注册
为传统 SCEP 注册配置 VPN 客户端配置文件
过程
步骤 1 打开 VPN 配置文件编辑器,从导航窗格中选择 Certificate Enrollment(证书注册)。
步骤 2 选择 Certificate Enrollment(证书注册)。
步骤 3 指定 Automatic SCEP Host(自动 SCEP 主机)以指示客户端检索证书。
输入 FQDN 或 IP 地址,以及为 SCEP 证书检索配置的连接配置文件(隧道组)的别名。 例如,如
果 asa.cisco.com 是 ASA 的主机名,scep_eng 是连接配置文件的别名,则输入 asa.cisco.com/scep-eng。
果 asa.cisco.com 是 ASA 的主机名,scep_eng 是连接配置文件的别名,则输入 asa.cisco.com/scep-eng。
当用户启动连接时,选择或指定的地址必须与此值完全匹配,传统 SCEP 注册才会成功。 例如,如
果此字段设置为 FQDN,但用户指定 IP 地址,SCEP 注册会失败。
果此字段设置为 FQDN,但用户指定 IP 地址,SCEP 注册会失败。
步骤 4 配置证书颁发机构属性:
CA 服务器管理员可以提供 CA URL 和拇指指纹。 直接从服务器检索拇指指纹,而不是从颁
发的证书中的 “fingerprint”(指纹)或“thumbprint”(拇指指纹)属性字段检索。
发的证书中的 “fingerprint”(指纹)或“thumbprint”(拇指指纹)属性字段检索。
注释
a)
指定 CA URL 以识别 SCEP CA 服务器。 输入 FQDN 或 IP 地址。 例如:
http://ca01.cisco.com/certsrv/mscep/mscep.dll。
http://ca01.cisco.com/certsrv/mscep/mscep.dll。
b)
(可选)选中 Prompt For Challenge PW(提示质询 PW),提示用户输入其用户名和一次性密
码。
码。
c)
(可选)输入 CA 证书的拇指指纹。 使用 SHA1 或 MD5 哈希值。 例如:
8475B661202E3414D4BB223A464E6AAB8CA123AB
。
步骤 5 配置在注册证书中要请求的证书内容。 有关证书字段的定义,请参阅
如果您使用 %machineid%,在客户端上加载 HostScan/Posture。
注释
步骤 6 (可选)选中 Display Get Certificate Button(显示获取证书按钮)以允许用户手动请求调配或续订
身份验证证书。 如果证书身份验证失败,该按钮对用户可见。
步骤 7 (可选)为服务器列表中的特定主机启用 SCEP。 这样会覆盖上述 Certificate Enrollment(证书注册)
窗格中的 SCEP 设置。
a)
从导航窗格中选择 Server List(服务器列表)。
b)
添加或编辑服务器列表条目。
c)
如上面的步骤 5 和 6 所述指定 Automatic SCEP Host(自动 SCEP 主机)和 Certificate Authority(证
书颁发机构)属性。
书颁发机构)属性。
Cisco AnyConnect 安全移动客户端管理员指南,4.0 版
122
配置 VPN 接入
配置证书注册