关闭AnyConnect登录安全警告窗口

一、问题描述：使用AnyConnect client连接时，如何关闭的安全警告窗口？

二、原因分析：

 

AnyConnect Server（ASA）和AnyConect client（PC）上没有受信任的证书。

三、解决方案：

 

1/ 在ASA和AnyConnect client导入第三方机构颁发的根证书和用户证书；

参考链接：

ASA 8.x Manually Install 3rd Party Vendor Certificates for use with WebVPN Configuration Example

https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/98596-asa-8-x-3rdpartyvendorcert.html

 

2/ 使用ASA自签名证书。

 

参考链接：

ASA 8.x : VPN Access with the AnyConnect VPN Client Using Self-Signed Certificate Configuration Example

https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99756-asa8-x-anyconnect-vpn.html

 

四、本文目的：

 

1/ 仅通过配置ASA自签名证书（尽可能使用最少配置）、不涉及任何第三机构（颁发证书）、客户端修改配置（尽可能修改最少/最简单），来关闭该警告窗口.

 

2/ 使用IP地址连接AnyConnect（之前在论坛上，有人提到必须使用域名登录才可以关闭警告窗口，其实使用IP也可以的~ o(*￣▽￣*)o）

 

五、详细步骤：

 

1/ 版本说明：

 

ASA：9.8.1

ASDM：7.10（1）

AnyConnect client：4.700136

 

2/ Topology

3/ ASA预配置

------------------------------------------------------------------

interface GigabitEthernet0/0

nameif outside

security-level 0

ip address 10.1.1.100 255.255.255.0

asdm image disk0:/asdm-7101.bin

webvpn

enable outside

anyconnect imagedisk0:/anyconnect-win-4.700136-webdeploy-k9.pkg 1

anyconnect enable

tunnel-group-list enable

access-list SPLIT extended permit ip 20.1.1.0 255.255.255.0 any

ip local pool VPN-POOL 192.168.1.1-192.168.1.254 mask 255.255.255.0

 

group-policy SSL-GROUP internal

group-policy SSL-GROUP attributes

vpn-tunnel-protocolssl-client ssl-clientless

split-tunnel-policytunnelspecified

split-tunnel-network-listvalue SPLIT

address-pools value VPN-POOL

tunnel-group SSL-TUNNEL type remote-access

tunnel-group SSL-TUNNEL general-attributes

default-group-policySSL-GROUP

tunnel-group SSL-TUNNEL webvpn-attributes

group-alias SSL-VPN enable

 

4/ 在ASA上生成自签名证书，并把trustpoint应用到outside接口上（注意：此处fqdn指定outside接口地址而不是域名）

crypto key generate rsa label sslvpnkeypair

crypto ca trustpoint localtrust

enrollment self

fqdn 10.1.1.100

subject-name CN=10.1.1.100

keypair sslvpnkeypair

crypto ca enroll localtrust noconfirm

ssl trust-point localtrust outside

 

参考链接：

ASA 8.x : VPN Access with the AnyConnect VPN Client Using Self-Signed Certificate Configuration Example

Step 1. Configure a Self-Issued Certificate-Command Line Example

https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99756-asa8-x-anyconnect-vpn.html#step1

 

5/ 登录Anyconnect，勾选 “Always trust this server and import the certificate” - 点击 “Connect Anyway”

弹出登录验证窗口

6/ 再次连接Anyconnect，无警告窗口。

 

至此利用ASA自签名证书关闭Anyconnect警告窗口。

 

六、需要注意的问题：

 

1/ 证书路径：

 

通常如果想要在Windows客户端导入证书，需要在如下路径导入用户证书：

 

而AnyConnect client导入的证书路径如下：

2/ 如果想要使用域名登录，记得利用AnyConnect profile 创建server-list，配置FQDN以及建立domain 与接口IP地址解析关系；如果没有域名服务器，可以手动修改Windows hosts 进行解析。

参考链接：
Cisco AnyConnect Secure Mobility Client Administrator Guide, Release 4.0
https://www.cisco.com/c/en/us/td/docs/security/vpn_client/anyconnect/anyconnect40/administration/guide/b_AnyConnect_Administrator_Guide_4-0/anyconnect-profile-editor.html#ID-1430-00000254

Easily Edit the Hosts File in Windows 10
https://www.petri.com/easily-edit-hosts-file-windows-10

本文copy自思科论坛

原文链接：http://bbs.csc-china.com.cn/forum.php?mod=viewthread&tid=988888&page=1#pid1034552