配置ASA作为使用多份证书基于验证的

AnyConnect客户端的SSL网关目录简介先决条件要求使用的组件背景信息限制在Windowsv/s非Windows平台的证书选择多份证书验证的连接流配置通过ASDM配置多份证书验证通过CLI配置多份证书验证的ASA验证通过CLI查看在ASA的已安装证书查看在客户端的已安装证书机器认证用户证书故障排除相关信息简介本文描述如何配置可适应安全工具(ASA)作为使用多份证书基于验证CiscoAnyConnect安全移动客户端的安全套接字协议层(SSL)网关.
先决条件要求Cisco建议您了解以下主题:ASACLI配置和SSLVPN配置基础知识qX509证书基础知识q使用的组件本文档中的信息基于以下软件版本:Cisco可适应安全工具(ASA)软件,版本9.
7(1)和以上q与CiscoAnyConnect安全移动客户端4.
4的Windows10qNote:请从Cisco软件下载中下载AnyConnectVPNClient程序包(anyconnect-win*.
pkg)(仅限注册用户).
将AnyConnectVPNClient复制到ASA的闪存中以供远程用户计算机下载,以便建立与ASA的SSLVPN连接.
有关ASA配置指南的详细信息,请参阅安装AnyConnect客户端部分.
本文档中的信息都是基于特定实验室环境中的设备编写的.
本文档中使用的所有设备最初均采用原始(默认)配置.
如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响.

背景信息在软件版本9.
7(1)之前,ASA支持单个证书根据验证,含义用户或计算机可以验证,但是不是两个,单个连接尝试的.
多份证书基于验证给能力安排ASA验证计算机除验证用户的身份证书之外允许VPN访问,或设备证书,保证设备是一个公司发出的设备.
限制多份证书验证当前限制证书编号到正确地两.
qAnyConnect客户端必须指示多份证书验证的支持.
如果那不是实际情形网关然后使用其中一传统认证方法或请出故障连接.
AnyConnect版本4.
4.
04030或以上支持多证书基于验证.

q对于Windows平台,机器认证发送在聚集验证协议下的用户证书跟随的最初的SSL握手期间.

不支持从Windows机器存储的两证书.
q在意味着的XML配置文件下的多份证书验证忽略Enable(event)自动证书选择首选客户端设法所有组合验证两证书,直到发生故障.
当Anyconnect设法连接时,这可能引入严重的延迟.
因此,推荐给匹配在多个用户/机器认证的情况下使用身份验证在客户端机器.

qAnyconnect仅SSLVPN支持RSA根据证书.
q在聚集验证期间,仅SHA256、SHA384和SHA512基于证书支持.
q在Windowsv/s非Windows平台的证书选择在Windows的AnyConnect区分在从计算机存储(仅可访问由特权进程)和用户存储获取的证书之间(仅可访问由登录用户拥有的进程).
这样差异没有由AnyConnect做在非Windows平台.

ASA可能选择强制执行连接策略,配置由ASA管理员,根据接收的证书的实际类型.
对于Windows,类型可以是:一计算机和一个用户或者q两用户.
q对于非Windows平台,征兆总是两个用户证书.
多份证书验证的连接流配置通过ASDM配置多份证书验证此部分描述如何配置思科ASA作为AnyConnect客户端的SSL网关有证书验证的.

通过ASDM完成这些步骤设置证书验证的Anyconnect客户端:步骤1.
用户和机器认证的安装CA证书在ASA.
对于参考的证书的安装请配置ASA:SSL数字证书安装和续订步骤2.
导航对Configuration>远程访问>组策略并且配置组政策.
步骤3.
配置新连接配置文件并且选择认证方法作为多份证书并且选择在step1创建的组政策.

第四步:对于其他详细配置,请参考toVPN客户端和AnyConnect访客接入对本地LAN配置示例通过CLI配置多份证书验证的ASANote:使用命令查找工具(仅限注册用户)可获取有关本部分所使用命令的详细信息.