请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

  思科 CCO 登录 推荐
 找回密码
 立即注册

搜索
热搜: 邮件服务器
查看: 434|回复: 5

【原创】关闭AnyConnect登录安全警告窗口

[复制链接]
发表于 2019-3-2 00:49:55 | 显示全部楼层 |阅读模式
本帖最后由 xiaocqu 于 2019-3-3 19:36 编辑

一、问题描述:使用AnyConnect client连接时,如何关闭的安全警告窗口?


二、原因分析:

AnyConnect Server(ASA)和AnyConect client(PC)上没有受信任的证书。

三、解决方案:

1/ 在ASA和AnyConnect client导入第三方机构颁发的根证书和用户证书;

参考链接:
ASA 8.x Manually Install 3rd Party Vendor Certificates for use with WebVPN Configuration Example


2/ 使用ASA自签名证书。

参考链接:
ASA 8.x : VPN Access with the AnyConnect VPN Client Using Self-Signed Certificate Configuration Example

四、本文目的:

1/ 仅通过配置ASA自签名证书(尽可能使用最少配置)、不涉及任何第三机构(颁发证书)、客户端修改配置(尽可能修改最少/最简单),来关闭该警告窗口.

2/ 使用IP地址连接AnyConnect(之前在论坛上,有人提到必须使用域名登录才可以关闭警告窗口,其实使用IP也可以的~ o(* ̄▽ ̄*)o)

五、详细步骤:

1/ 版本说明:

ASA:9.8.1
ASDM:7.10(1)
AnyConnect client:4.700136

2/ Topology


3/ ASA预配置
------------------------------------------------------------------
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 10.1.1.100 255.255.255.0

asdm image disk0:/asdm-7101.bin

webvpn
enable outside
anyconnect imagedisk0:/anyconnect-win-4.700136-webdeploy-k9.pkg 1
anyconnect enable
tunnel-group-list enable

access-list SPLIT extended permit ip 20.1.1.0 255.255.255.0 any

ip local pool VPN-POOL 192.168.1.1-192.168.1.254 mask 255.255.255.0

group-policy SSL-GROUP internal
group-policy SSL-GROUP attributes
vpn-tunnel-protocolssl-client ssl-clientless
split-tunnel-policytunnelspecified
split-tunnel-network-listvalue SPLIT
address-pools value VPN-POOL

tunnel-group SSL-TUNNEL type remote-access
tunnel-group SSL-TUNNEL general-attributes
default-group-policySSL-GROUP
tunnel-group SSL-TUNNEL webvpn-attributes
group-alias SSL-VPN enable

4/ ASA上生成自签名证书,并把trustpoint应用到outside接口上(注意:此处fqdn指定outside接口地址而不是域名)

crypto key generate rsa label sslvpnkeypair
crypto ca trustpoint localtrust
enrollment self
fqdn 10.1.1.100
subject-name CN=10.1.1.100
keypair sslvpnkeypair
crypto ca enroll localtrust noconfirm
ssl trust-point localtrust outside

参考链接:
ASA 8.x : VPN Access with the AnyConnect VPN Client Using Self-Signed Certificate Configuration Example
Step 1. Configure a Self-Issued Certificate-Command Line Example

5/ 登录AnyConnect,勾选 “Always trust this server and import the certificate” - 点击 “Connect Anyway


弹出登录验证窗口


6/ 再次连接AnyConnect,无警告窗口。

至此利用ASA自签名证书关闭AnyConnect警告窗口。

六、需要注意的问题:

1/ 证书路径:

通常如果想要在Windows客户端导入证书,需要在如下路径导入用户证书:


而AnyConnect client导入的证书路径如下:


2/ 如果想要使用域名登录,记得利用AnyConnect profile 创建server-list,配置FQDN以及建立domain 与接口IP地址解析关系;如果没有域名服务器,可以手动修改Windows hosts 进行解析。

参考链接:
Cisco AnyConnect Secure Mobility Client Administrator Guide, Release 4.0
https://www.cisco.com/c/en/us/td/docs/security/vpn_client/anyconnect/anyconnect40/administration/guide/b_AnyConnect_Administrator_Guide_4-0/anyconnect-profile-editor.html#ID-1430-00000254

Easily Edit the Hosts File in Windows 10
https://www.petri.com/easily-edit-hosts-file-windows-10


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-3-2 08:08:38 来自手机 | 显示全部楼层
补充下
仅有几家PKI厂商支持颁发IP地址的SSL Certificate
需要的材料LoA+OV
IP地址的只能OV级别,DV EV均不能颁发
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-3-2 16:11:04 | 显示全部楼层
赞一个,学习学习!
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2019-3-4 10:19:25 | 显示全部楼层
cisco.feng 发表于 2019-3-2 08:08
补充下
仅有几家PKI厂商支持颁发IP地址的SSL Certificate
需要的材料LoA+OV

学习了,其他厂商SSL 证书接触比较少
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-3-8 21:36:37 | 显示全部楼层
好东西,学习了,最近还是有几个客户要上ASA vpn 的
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-3-15 15:41:03 | 显示全部楼层
还能这么玩 6 啊
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2019-3-23 13:41 , Processed in 0.099344 second(s), 42 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表