У меня есть ASA, настроенная для аутентификации сертификатов AlwaysON SSL-VPN, которая работает нормально, но я хочу перейти на аутентификацию на основе компьютера, и изменение, которое я сделал, заключается в изменении профиля подключения -> поле «Primary» --> изменение с «UPN» на «CN», и это не работает. Пожалуйста, помогите. ![NajibAkbari_0-1763602445370.png] Кроме того, что вы думаете об изменении аутентификации на основе сертификата пользователя на аутентификацию на основе сертификата компьютера? Это лучше с точки зрения безопасности? Причина, по которой я хочу внести изменения, заключается в том, что в случае аутентификации на основе пользователя пользователь должен как минимум один раз войти в систему и добавить сертификат или отправить его на аутентификацию из домена.

]]>https://sla247.ru/forum/topic/2377/аутентификация-сертификата-машины-asa-secure-clientRSS for NodeFri, 15 May 2026 10:27:14 GMTMon, 02 Mar 2026 12:41:48 GMT60единственный вывод из CLI:
SSL verify callback: алгоритм обмена ключами, извлеченный из SSL Cipher и профиль, всегда включенный: ![NajibAkbari_0-1763665422059.png]

]]>https://sla247.ru/forum/post/16736https://sla247.ru/forum/post/16736Mon, 02 Mar 2026 12:41:55 GMT@Najib Akbari
запустите отладку и предоставьте результаты для проверки. debug webvpn AnyConnect 255
debug crypto ca 255

]]>https://sla247.ru/forum/post/16735https://sla247.ru/forum/post/16735Mon, 02 Mar 2026 12:41:54 GMTЯ согласен, это просто для удобства пользователей, пока они хотят аутентификацию по компьютерному сертификату. У меня есть проблема с ее подключением.

]]>https://sla247.ru/forum/post/16734https://sla247.ru/forum/post/16734Mon, 02 Mar 2026 12:41:53 GMT@Najib Akbari
Почему бы не использовать двойную аутентификацию? — компьютерный сертификат + аутентификация AAA через ISE с использованием учетных данных AD пользователя. Это будет более безопасным, чем просто аутентификация по компьютерному или пользовательскому сертификату.

]]>https://sla247.ru/forum/post/16733https://sla247.ru/forum/post/16733Mon, 02 Mar 2026 12:41:52 GMTТакже, пожалуйста, сообщите мне, лучше ли оставить ASA в качестве локальной аутентификации или перенести ее в ISE? В настоящее время ASA выполняет аутентификацию, а ISE — авторизацию.

]]>https://sla247.ru/forum/post/16732https://sla247.ru/forum/post/16732Mon, 02 Mar 2026 12:41:51 GMTПомогите мне, пожалуйста, узнать, какие требования я должен добавить и/или изменить, чтобы перейти с аутентификации по сертификату пользователя на аутентификацию по сертификату компьютера Windows?

]]>https://sla247.ru/forum/post/16731https://sla247.ru/forum/post/16731Mon, 02 Mar 2026 12:41:50 GMTДля всех, кому это нужно знать и кому это может помочь: проблема решена! Оказалось, что длина открытого ключа RSA на компьютере 1024 не совпадала с длиной ключа ASA RSA 2048. Изменил политику домена для сертификата компьютера на 2048 и запросил новый сертификат на компьютере с Windows, после чего AlwaysOn VPN на основе сертификата компьютера заработал. ![NajibAkbari_0-1763772767269.png]

]]>https://sla247.ru/forum/post/16730https://sla247.ru/forum/post/16730Mon, 02 Mar 2026 12:41:49 GMT