| Cisco AnyConnect Secure Mobility Client 4.9 版本说明 | 您所在的位置:网站首页 › ciscoanyconnect官网 › Cisco AnyConnect Secure Mobility Client 4.9 版本说明 |
Cisco AnyConnect Secure Mobility Client 4.9 版本说明
|
AnyConnect 客户端利用证书的 Windows 密码运营商 (CSP) 对 IPsec/IKEv2 VPN 连接的 IKEv2 身份验证阶段所需数据进行哈希计算和签名。如果 CSP 不支持 SHA 2 算法,且为伪随机功能 (PRF) SHA256、SHA384 或 SHA512 配置了 ASA,并同时为证书或证书和 AAA 身份验证配置了连接配置文件(隧道组),则证书身份验证失败。用户收到“证书验证失败”(Certificate Validation Failure) 消息。 对于属于不支持 SHA 2 类算法的 CSP 的证书,此验证失败仅发生在 Windows 上。其他支持的操作系统不存在此问题。 若要避免此问题,可以将 ASA 上 IKEv2 策略的 PRF 配置为 md5 或 sha (SHA 1)。或者,可以将证书 CSP 值修改为有效的本地 CSP,例如 Microsoft 增强 RSA 和 AES 加密提供程序。请勿将此变通方法应用于智能卡证书。不能更改 CSP 名称。而应联系智能卡提供商,获取支持 SHA 2 算法的更新 CSP。  小心
如果未能正确执行下述变通操作,则可能会损坏用户证书。指定证书更改时,请格外谨慎。 您可以使用 Microsoft Certutil.exe 实用程序修改证书 CSP 值。Certutil 是管理 Windows CA 的命令行实用程序,在 Microsoft Windows Server 2003 管理工具包中提供。您可以从以下 URL 下载工具包: http://www.microsoft.com/downloads/en/details.aspx?FamilyID=c16ae515-c8f4-47ef-a1e4-a8dcbacff8e3&displaylang=en 按以下步骤运行 Certutil.exe 和更改证书 CSP 值: 打开终端计算机上的命令窗口。 使用以下命令,查看用户存储中的证书及其当前的 CSP 值:certutil -store -user My 以下示例显示了通过此命令显示的证书内容: ================ Certificate 0 ================ Serial Number: 3b3be91200020000854b Issuer: CN=cert-issuer, OU=Boston Sales, O=Example Company, L=San Jose, S=CA, C=US, [email protected] NotBefore: 2/16/2011 10:18 AM NotAfter: 5/20/2024 8:34 AM Subject: CN=Carol Smith, OU=Sales Department, O=Example Company, L=San Jose, S=C A, C=US, [email protected] Non-root Certificate Template: Cert Hash(sha1): 86 27 37 1b e6 77 5f aa 8e ad e6 20 a3 14 73 b4 ee 7f 89 26 Key Container = {F62E9BE8-B32F-4700-9199-67CCC86455FB} Unique container name: 46ab1403b52c6305cb226edd5276360f_c50140b9-ffef-4600-ada 6-d09eb97a30f1 Provider = Microsoft Enhanced RSA and AES Cryptographic Provider Signature test passed识别证书的 属性。在此示例中,CN 是 Carol Smith。您会在下一步中需要此信息。 使用以下命令修改证书 CSP。以下示例使用主题 值选择要修改的证书。您也可以使用其他属性。 在 Windows 7 或更高版本上,使用此命令:certutil -csp "Microsoft Enhanced RSA and AES Cryptographic Provider" -f -repairstore -user My carol smith 重复第 2 步并验证证书出现的新 CSP 值。 |
【本文地址】