Cisco Cisco AnyConnect Secure Mobility Client v2.x Administrator's Guide
配置 SCEP 代理证书注册
为 SCEP 代理注册配置 VPN 客户端配置文件
过程
步骤 1 打开 VPN 配置文件编辑器,从导航窗格中选择 Certificate Enrollment(证书注册)。
步骤 2 选择 Certificate Enrollment(证书注册)。
步骤 3 配置在注册证书中要请求的证书内容。 有关证书字段的定义,请参阅
。
注释
• 如果您使用 %machineid%,则必须为桌面客户端加载
HostScan/Posture。
• 对于移动客户端,必须指定至少一个证书字段。
配置 ASA 以支持 SCEP 代理注册
对于 SCEP 代理,单个 ASA 连接配置文件支持证书注册和证书颁发机构的 VPN 连接。
过程
步骤 1 创建组策略,例如,cert_group。 设置以下字段:
• 在 General(常规)中的 SCEP Forwarding URL(SCEP 转发 URL)内输入 CA 的 URL。
• 在 Advanced(高级)> AnyConnect Client(AnyConnect 客户端)窗格中,取消选中 Inherit for
Client Profiles to Download(继承以下载客户端配置文件)并指定针对 SCEP 代理配置的客户
端配置文件。 例如,指定 ac_vpn_scep_proxy 客户端配置文件。
端配置文件。 例如,指定 ac_vpn_scep_proxy 客户端配置文件。
步骤 2 为证书注册和证书颁发机构的连接创建连接配置文件,例如,cert_tunnel。
• 身份验证:两者(AAA 和证书)。
• 默认组策略:cert_group。
• 在 Advanced(高级)> General(常规)中,选中 Enable SCEP Enrollment for this Connction
Profile(为此连接配置文件启用 SCEP 注册)。
• 在 Advanced(高级)> GroupAlias/Group URL(组别名/组 URL)中,创建包含此连接配置文件
的组 (cert_group) 的组 URL。
Cisco AnyConnect 安全移动客户端管理员指南,4.0 版
121
配置 VPN 接入
配置证书注册