YilinChen 发表于 2017-12-28 14:32是没有U-KEY状态，靠域+证书来绑定物理机不好意思，再请教一下层主。我看官网一篇文章，《用数字证书和Microsoft CA的ASA/PIX 8.x和VPN客户端IPSec认证使配置示例》，这篇文章的windows ca服务器部署在公网环境假如我的CA服务器部署在私网，是CA服务器-->ASA5520-->公网-->VPN client客户端。这时我的客户端的证书的CRL指向应该是http://CA服务器地址，是不是需要ASA上做N...

本帖最后由 unine 于 2017-12-29 15:11 编辑 YilinChen 发表于 2017-12-28 14:32是没有U-KEY状态，靠域+证书来绑定物理机我拿网站测试了域CA在工作组和域环境的区别申请域证书PC，不管是域或工作组中都能正常访问网站。把证书复制到其它域PC，证书能导入私钥的不管用户都能正常访问，不能导入证书的则无法访问网站。把证书复制到工作组PC，都不能访问网站如果还有一些非公司员工也要使用，不知道用ISE怎么认证。我看资料，好像ISE验证客户端大多都是杀毒软件...

YilinChen 发表于 2017-12-28 12:16有办法，基于证书来实现，每账号都必须有独立的证书，通过CA证书双向验证，结合AD域环境。那就是要架设一台域服务器，一个域证书服务器，然后外带笔记本加入域并申请ipsec拨号的证书ASA ezvpn 认证方式选择域证书服务器。以前架设过独立的CA和网站的SSL认证，是有证书就能正常使用，不管接入设备，就像U-KEY一样。如果域企业CA服务器的话，是不是不加入域就无效？？也就是说即使CA证书，换到别的电脑，因为没有加入域，也无法使用？？