Cisco Cisco AnyConnect Secure Mobility Client v2.x Administrator's Guide
配置 ASA 以支持传统 SCEP 注册
对于 ASA 上的传统 SCEP,您必须创建连接配置文件和组策略以注册证书,然后创建另一个连接配
置文件和组策略以进行证书颁发机构的 VPN 连接。
置文件和组策略以进行证书颁发机构的 VPN 连接。
过程
步骤 1 创建一个用于注册的组策略,例如 cert_enroll_group。 设置以下字段:
在 Advanced(高级)> AnyConnect Client(AnyConnect 客户端)窗格中,取消选中 Inherit for Client
Profiles to Download(继承以下载客户端配置文件)并指定为传统 SCEP 配置的客户端配置文件。 例
如,指定 ac_vpn_legacy_scep 客户端配置文件。
Profiles to Download(继承以下载客户端配置文件)并指定为传统 SCEP 配置的客户端配置文件。 例
如,指定 ac_vpn_legacy_scep 客户端配置文件。
步骤 2 创建另一个用于授权的组策略,例如 cert_auth_group。
步骤 3 创建用于注册的连接配置文件,例如 cert_enroll_tunnel。 设置以下字段:
• 在 Basic(基本)窗格中,将 Authentication Method(身份验证方法)设置为 AAA。
• 在 Basic(基本)窗格中,将 Default Group Policy(默认组策略)设置为 cert_enroll_group。
• 在 Advanced(高级)> GroupAlias/Group URL(组别名/组 URL)中,创建一个组 URL,其中
包含此连接配置文件的注册组 (cert_enroll_group)。
• 请勿在 ASA 上启用连接配置文件。 无需向用户显示组,以免他们访问该组。
步骤 4 创建用于授权的连接配置文件,例如 cert_auth_tunnel。 设置以下字段。
• 在 Basic(基本)窗格中,将 Authentication Method(身份验证方法)设置为 Certificate(证书)。
• 在 Basic(基本)窗格中,将 Default Group Policy(默认组策略)设置为 cert_auth_group。
• 请勿在 ASA 上启用此连接配置文件。 无需向用户显示组,以免他们访问该组。
步骤 5 (可选)在每个组策略的 General(常规)窗格中,将 Connection Profile (Tunnel Group) Lock(连
接配置文件(隧道组)锁定)设置为相应的 SCEP 连接配置文件,以仅允许适用于为 SCEP 配置的
连接配置文件的流量。
连接配置文件的流量。
为 SCEP 设置 Windows 2008 服务器证书颁发机构
如果您的证书颁发机构软件在 Windows 2008 服务器上运行,您可能需要对服务器做出以下配置更改
之一,以支持 SCEP 与 AnyConnect 一起使用。
之一,以支持 SCEP 与 AnyConnect 一起使用。
在证书颁发机构上禁用 SCEP 密码
以下步骤描述如何禁用 SCEP 质询密码,以便客户端无需在 SCEP 注册之前提供带外密码。
Cisco AnyConnect 安全移动客户端管理员指南,4.0 版
123
配置 VPN 接入
配置证书注册