本帖最后由 fangni 于 2015-3-17 14:06 编辑 若你的iphone iOS7.x 之前使用的是legacy(传统)方式来获取到的证书,那么当升级到iphone iOS 8.x后就无法获取到证书了。(当然,之前存在手机里的证书,只要没有到期/被删除之前,都是可以用来anyconnect连接的~)
针对iphone iOS 8.x anyconnect时如何获取证书,我们可以使用ASA的 SCEP-Proxy feature来获取证书。(ASA的版本要在9.0以上。)
Topo: iphone 8.x ----(outside) ASA (inside)----- CA server
具体配置如下:(我测试的时候,使用的是windows2008 R2做为CA server)
webvpn
enable outside
anyconnect image disk0:/anyconnect-win-4.0.00051-k9.pkg 1
anyconnect profiles Cert_Profile disk0:/cert_profile.xml
anyconnect enable
tunnel-group-list enable
username test password cisco
ip local pool vpnpool 111.1.1.10-111.1.1.20 mask 255.255.255.0
tunnel-group Cert general-attributes
address-pool vpnpool
default-group-policy Cert_GP
scep-enrollment enable
tunnel-group Cert webvpn-attributes
authentication aaa certificate
group-alias Cert enable
group-url https://
outside ip address/Cert enable
group-policy Cert_GP internal
group-policy Cert_GP attributes
wins-server none
dns-server none
vpn-tunnel-protocol ssl-client
default-domain none
scep-forwarding-url value http://
CA server ip address/certsrv/mscep/mscep.dll
webvpn
anyconnect profiles value Cert_Profile type user
注意点:
1. 若CA server在inside,要保证inside 地址和CA之间的连通性。
2. 要预先配置好Cert_Profile 这个文件,配置示例见
这个帖子。
3.
CA server ip address 和outside ip address请自行更换