本帖最后由 fangni 于 2015-3-17 14:06 编辑
若你的iphone iOS7.x 之前使用的是legacy（传统）方式来获取到的证书，那么当升级到iphone iOS 8.x后就无法获取到证书了。（当然，之前存在手机里的证书，只要没有到期/被删除之前，都是可以用来anyconnect连接的~）
针对iphone iOS 8.x anyconnect时如何获取证书，我们可以使用ASA的 SCEP-Proxy feature来获取证书。（ASA的版本要在9.0以上。）
Topo: iphone 8.x ----(outside) ASA (inside)----- CA server
具体配置如下：（我测试的时候，使用的是windows2008 R2做为CA server）
webvpn
enable outside
anyconnect image disk0:/anyconnect-win-4.0.00051-k9.pkg 1
anyconnect profiles Cert_Profile disk0:/cert_profile.xml
anyconnect enable
tunnel-group-list enable
username test password cisco
ip local pool vpnpool 111.1.1.10-111.1.1.20 mask 255.255.255.0
tunnel-group Cert general-attributes
address-pool vpnpool
default-group-policy Cert_GP
scep-enrollment enable
tunnel-group Cert webvpn-attributes
authentication aaa certificate
group-alias Cert enable
group-url https://outside ip address/Cert enable
group-policy Cert_GP internal
group-policy Cert_GP attributes
wins-server none
dns-server none
vpn-tunnel-protocol ssl-client
default-domain none
scep-forwarding-url value http://CA server ip address/certsrv/mscep/mscep.dll
webvpn
anyconnect profiles value Cert_Profile type user
注意点：
1. 若CA server在inside，要保证inside 地址和CA之间的连通性。
2. 要预先配置好Cert_Profile 这个文件，配置示例见这个帖子。
3. CA server ip address 和outside ip address请自行更换