Cisco Cisco AnyConnect Secure Mobility Client v2.x プリント

이상 신뢰해서는 안 되는 해지된 인증서 중에 포함되어 있는지 여부를 확인하고, 이 인증서가
CA(인증 기관)에서 해지한 인증서로 확인되면 연결하지 않습니다.

CRL 확인은 기본적으로 비활성화됩니다. AnyConnect는 Enable CRL Check(CRL 확인 활성화)를
선택하거나 활성화하는 경우에만 CRL 확인을 수행하므로 최종 사용자에게 다음과 같은 결과가
발생할 수 있습니다.

• CRL을 통해 인증서를 해지하는 경우 AnyConnect 로컬 정책 파일에서 Strict Certificate

Trust(엄격한 인증서 신뢰)를 비활성화하더라도 보안 게이트웨이에 대한 연결이 무조건 실
패합니다.

• CRL 배포 포인트에 연결할 수 없는 등의 원인으로 인해 CRL을 검색할 수 없는 경우

AnyConnect 로컬 정책 파일에서 Strict Certificate Trust(엄격한 인증서 신뢰)를 활성화하면
보안 게이트웨이에 대한 연결이 무조건 실패합니다. Strict Certificate Trust(엄격한 인증서
신뢰)를 비활성화하는 경우에는 오류를 우회하라는 메시지가 사용자에게 표시될 수 있습
니다.

AnyConnect는 Always-On이 활성화되어 있으면 CRL 확인을 수행할 수 없습니다.
또한 CRL 배포 포인트에 공개적으로 연결할 수 없으면 AnyConnect에서 서비스
가 중단될 수 있습니다.

참고

• Restrict Web Launch(웹 실행 제한) <RestrictWebLaunch>

WebLaunch를 시작하기 위해 사용자가 FIPS 규정을 준수하지 않는 브라우저를 사용하는 것을
방지합니다. 이를 위해 클라이언트가 AnyConnect 터널을 시작하는 데 사용되는 보안 쿠키 획득
을 방지하는 방법을 사용합니다. 클라이언트는 사용자에게 정보 메시지를 표시합니다.

• Strict Certificate Trust(엄격한 인증서 신뢰) <StrictCertificateTrust>

이 매개변수를 선택한 경우, 원격 보안 게이트웨이를 인증할 때 AnyConnect는 확인할 수 없는
모든 인증서를 허용하지 않습니다. 이러한 인증서를 수락하도록 사용자에게 프롬프트를 표시
하지 않고 대신 클라이언트는 자체 서명된 인증서를 사용하여 보안 게이트웨이 연결에 실패하
고

Local policy prohibits the acceptance of untrusted server certificates. A connection

will not be established.

라고 표시합니다. 이 매개변수를 선택하지 않은 경우, 클라이언트는

사용자에게 인증서를 수락하라는 프롬프트를 표시합니다. 이는 기본 동작입니다.

다음과 같은 이유로 인해 AnyConnect 클라이언트에 대해 엄격한 인증서 신뢰를 활성화하는 것
이 좋습니다.

• 대상이 있는 악용이 증가함에 따라 로컬 정책에서 엄격한 인증서 신뢰를 활성화하면 사용

자가 공용 액세스 네트워크와 같이 신뢰할 수 없는 네트워크에서 연결 중인 경우 "중간자"
공격을 방지하는 데 도움이 됩니다.

• 완전히 확인 가능하고 신뢰할 수 있는 인증서를 사용하는 경우에도 AnyConnect 클라이언

트는 기본적으로 최종 사용자가 확인 불가능한 인증서를 수락하는 것을 허용합니다. 최종
사용자가 중간자 공격의 영향을 받는 경우, 악의적인 인증서를 수락하라는 프롬프트가 표
시될 수 있습니다. 최종 사용자의 이 결정 사항을 제거하려면 엄격한 인증서 신뢰를 활성화
합니다.

   Cisco AnyConnect Secure Mobility Client 관리자 설명서, 릴리스 4.1

AnyConnect 프로파일 편집기

로컬 정책 매개변수 및 값