由于 CSCvu65566 修复及其设备 ID 计算变化，Linux 的某些部署（尤其是使用 LVM 的部署）在从前端更新为 4.9.01xxx 或更高版本后会立即遇到一次性连接尝试错误。运行 AnyConnect 4.8 并连接前端以执行自动更新（Web 部署）的 Linux 用户可能会收到以下错误：“安全网关已拒绝连接尝试。需要新尝试连接同一或其他安全网关，这需要重新身份验证。” 要成功连接，您可以在 AnyConnect 升级后手动启动另一个 VPN 连接。初始升级到 4.9.01xxx 或更高版本后，您将不再遇到此问题。

网络访问管理器做出了修订，以便将无线 LAN 配置文件写入到磁盘，而不是使用内存中的临时配置文件。Microsoft 为解决一个 OS 错误而提出了这一更改请求，但结果导致“无线 LAN 数据使用”窗口崩溃，最终间歇性出现无线连接问题。为防止这些问题，我们将网络访问管理器恢复为使用内存中的原始临时 WLAN 配置文件。升级到 4.8MR2 或更高版本时，网络访问管理器将删除磁盘上的大多数无线 LAN 配置文件。在定向时，操作系统 WLAN 服务无法删除某些硬配置文件，但如果有任何剩余，都会妨碍网络访问管理器连接无线网络的能力。从 4.7MR4 升级到 4.8MR2 后，如果在连接无线网络时遇到问题，请执行以下步骤：

1. 停止 Cisco AnyConnect 网络访问管理器服务。

2. 在管理员命令提示符下，输入

   netsh wlan delete profile name=*(AC)

这将删除之前版本（AnyConnect 4.7MR4 到 4.8MR2）遗留的配置文件。或者，您可以查找名称中附带 AC 的配置文件，然后将其从本机请求方删除。

正等待 macOS 修复来纠正 AnyConnect 版本 4.8.03036（及更高版本）中与 nslookup 命令相关的问题，即 nslookup 不通过采用拆分包含隧道配置的 VPN 隧道发送 DNS 查询。此问题最初出现在 AnyConnect 4.8.03036 中，当时该版本加入了对 CSCvo18938 缺陷的修复。Apple 建议的 CSCvo18938 更改最终揭露了另一个操作系统问题，导致 nslookup 出现有问题的行为。

Apple 已请求客户将底层操作系统问题直接上报给他们。当上报给 Apple 时，请引用 macOS 缺陷 FB7670484。作为一种临时解决办法，您可以将 VPN DNS 服务器作为参数传递到 nslookup：nslookup [名称] [ip_dnsServer_vpn]。

(CSCvu71024) 如果 ASA 前端或 SAML 提供程序使用由 AddTrust 根（或中介之一）签署的证书，则由于它们已在 2020 年 5 月到期，因此 AnyConnect 身份验证可能会失败。已到期的证书会导致 AnyConnect 失败并显示为服务器证书验证错误，直到操作系统进行所需的更新以适用 2020 年 5 月到期问题为止。

当启用拆分 DNS 后，Windows 8 及更高版本中存在的 Windows DNS 客户端优化可能会导致无法解析某些域名。临时应对方法是通过更新以下注册表项禁用此类优化：

Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters

Value:DisableParallelAandAAAA

Data: 1

Key: HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\DNSClient

Value: DisableSmartNameResolution

Data: 1

MacOS 10.15 操作系统不支持32位二进制文件。此外，Apple 验证安装在10.15 上的所有软件是否已通过数字签名进行加密公证。为了获得最佳的用户体验，我们建议升级到 AnyConnect 4.8，因为它是在 macOS 10.15 上正式支持操作的第一个版本，不包含32位代码。

否则，请注意以下限制：

• 4.7.03052 之前的 AnyConnect 版本可能需要使用活动的互联网连接才能进行升级。

• 在 macOS 10.15 上，4.8. x 之前的 AnyConnect HostScan 版本将不起作用。请参阅 HostScan 未升级时无法与 macOS 10.15 一起运行 (CSCvq11813)。

• MacOS 10.15 上的 AnyConnect HostScan 和 SystemScan 用户将在初始启动期间遇到权限弹出窗口。请参阅 初始 AnyConnect HostScan 或系统扫描启动（CSCvq64942）时的权限弹出窗口。

4.8. x 之前的 AnyConnect HostScan 软件包无法与 macOS Catalina (10.15) 一起运行。运行 HostScan 软件包早于 4.8.x 的最终用户尝试从 macOS Catalina 连接到 ASA 前端时，无法成功完成 VPN 连接，收到终端安全评估失败的消息。

要为 HostScan 用户启用成功的 VPN 连接，所有 DAP 和 HostScan 策略均必须与 HostScan 4.8.00175（或更高版本）兼容。有关与从 HostScan 4.3. x 到 4.8. x 的策略迁移相关的其他信息，请参阅AnyConnect HostScan 迁移 4.3. x 到 4.6. x 及更高版本。

作为恢复 VPN 连接的一种解决方法，在其 ASA 前端上具有 HostScan 软件包的系统管理员可能会禁用 HostScan。如果禁用，则所有 HostScan 终端安全评估功能以及依赖终端信息的 DAP 策略均不可用。

相关字段通知可以在此处找到： https://www.cisco.com/c/en/us/support/docs/field-notices/704/fn70445.html。

macOS 10.15 （及更高版本）要求应用获取用户访问桌面、文档、下载和网络卷文件夹的权限。要授予此访问权限，您可以在初始启动 HostScan、系统扫描（在网络上启用 ISE 终端 安全评估时）或 DART（在执行 ISE 终端安全评估或安装 HostScan 时）时，查看弹出窗口。ISE 终端安全评估和 HostScan 均使用 OPSWAT 对终端进行终端安全评估，且终端安全评估检查根据配置的产品和策略访问这些文件夹。

在这些弹出窗口中，您必须单击确定以访问这些文件夹，并继续执行终端安全评估流程。如果单击不允许，终端可能不会保持合规，并且终端安全评估和补救可能会失败而不能访问这些文件夹。

要更正不允许选择

权限弹出窗口将再次出现，并显示后续终端安全评估的开始，用户可以单击确定以授予访问权限。

目前不支持在 macOS 上进行 GUI 资源自定义。在 4.8 的后续版本中，我们正在努力增强 GUI 资源自定义功能。

AnyConnect 伞模块与 SentinelOne 终端安全软件不兼容。

在使用 macOS 10.15 时，ISE 终端安全评估无法检测默认补丁管理。需要进行 OPSWAT 修复才能解决这种情况。

在 Windows 上，不能在网络访问管理器中使用基于 PMK 的漫游。

由于系统安全限制，DART 现在需要 macOS、Ubuntu 18.04 和 Red Hat 7 的管理员权限才能收集日志。

使用版本 4.6.2 和 4.6.3 的 AnyConnect 客户遇到了 IPsec 连接问题。在 AnyConnect 版本 4.7（及更高版本）中恢复 IPsec 连接 (CSCvm87884) 后，将不再支持 FIPS 型号下的 Diffie-hellman 组 2 和 5。因此，在 FIPS 型号下 AnyConnect 无法再连接到 9.6 以下版本的 ASA，也无法使用配置控制 DH 组 2 或 5。

（仅影响使用 58 之前的 Firefox 的用户）由于 NSS 证书存储区数据库格式更改从 Firefox 58 开始，AnyConnect 也会进行更改以使用新的证书数据库。如果使用 58 之前的 Firefox 版本，请将 NSS_DEFAULT_DB_TYPE="sql" 环境变量设置为 58，以确保 Firefox 和 AnyConnect 访问相同的数据库文件。

如果您的有线或无线网络设置或特定 SSID 从 Windows 组策略推送，它们可能会与网络访问管理器的正常运行冲突。在安装了网络访问管理器的情况下，不支持无线设置的组策略。

Windows 10 版本 1703 更改了其 WLAN 行为，这会导致网络访问管理器扫描无线网络 SSID 时出现中断。由于 Microsoft 正在检查的 Windows 代码存在漏洞，因此网络访问管理器尝试访问隐藏网络的行为会受到影响。为了提供最佳户体验，我们已在网络访问管理器安装期间对两个注册表项进行设置，禁用了 Microsoft 的新功能，然后在卸载过程中将其此设置删除。

推荐用于 macOS 10.13 (High Sierra) 的 AnyConnect 版本为 AnyConnect 4.5.02XXX 及更高版本。

AnyConnect 4.5.02XXX 和更高版本包含附加功能和警告，可以通过在其 macOS“Preferences”（首选项）->“Security & Privacy”（安全和隐私）窗格中启用 AnyConnect 软件扩展，指导用户完成利用 AnyConnect 全部功能所需的步骤。需要手动启用软件扩展是 macOS 10.13 (High Sierra) 中的一项新操作系统要求。此外，如果在将用户系统升级到 macOS 10.13 和更高版本之前，先将 AnyConnect 升级到 4.5.02XXX 及更高版本，则用户将自动启用 AnyConnect 软件扩展。

运行 macOS 10.13（及更高版本）的用户，如果其 AnyConnect 版本低于 4.5.02XXX，则必须在其 macOS“首选项 -> 安全和隐私”窗格中启用 AnyConnect 软件扩展。虽然 AnyConnect 4.4.04030 和 4.5.01044 经过测试可与 macOS 10.13（及更高版本）一起使用，这些用户将没有添加到 AnyConnect 4.5.02XXX 的附加功能和警告指导。对于低于 AnyConnect 4.5.02xxx 的版本，在启用扩展后，您可能需要手动重新引导。

如 https://support.apple.com/en-gb/HT208019 中所述，macOS 系统管理员可能有其他功能来禁用“用户批准的内核扩展加载”，这对任何目前受支持的 AnyConnect 版本都有效。

如果发生网络变化或电源事件，则被中断的安全评估过程将不会自动完成。网络或电源变化会导致 AnyConnect 下载错误，用户必须确认此错误，然后才能继续进行此过程。

所有通向 WWAN/3G/4G 的连接必须由用户手动触发。如果没有任何有线或无线连接可用，网络访问管理器则不会自动连接到这些网络。

在 macOS 上，启动 VPN 连接后可能会出现密钥链身份验证提示。只有在从安全网关发出客户端证书请求后，需要访问客户端证书私钥时，才会出现提示。即使隧道组未配置证书身份验证，也可以在 ASA 上配置证书映射，这会导致当客户端证书私钥的访问控制设置配置为允许访问之前确认时，出现密钥链提示。

配置 AnyConnect VPN 配置文件以将 AnyConnect 访问严格限制为从登录密钥链访问客户端证书（在 ASDM 配置文件编辑的“首选项（第 1 部分）- 证书存储 - macOS”下选择“登录”。您可以使用以下操作之一来停止密钥链身份验证提示：

• 在客户端配置文件中配置证书来匹配条件，以排除已知的系统密钥链证书。

• 在系统密钥链中配置客户端证书私钥的访问控制设置，以允许访问 AnyConnect。

https://dashboard.umbrella.com 现已提供控制面板，可用于检索 OrgInfo.json 文件。从此处，您可以导航到身份 > 漫游计算机，单击左上角的 +（“添加”图标），然后从 AnyConnect Umbrella 漫游安全模块部分单击模块配置文件。

当安装了网络访问管理器时，Microsoft 旨在阻止对较早版本 Windows 的更新，但无意中也阻止了 Windows 10 和 Creators Edition (RS2)。由于发生错误 (Microsoft Sysdev 11911272)，您必须首先卸载网络访问管理器模块，才能升级到 Creators Editor (RS2)。然后，可以在升级后重新安装该模块。Microsoft 计划于 2017 年 6 月推出针对此错误的修复。

当升级到 Windows 10 Creator Update（2017 年 4 月）时，您可能会收到 Windows Defender 消息，说 AnyConnect 适配器出现问题。Windows Defender 指示您在“设备性能和运行状况”(Device Performance and Health) 部分下启用适配器。实际上，不使用该适配器时应将其禁用，不应采取手动操作。这种误报错误会以 Sysdev # 11295710 代码报告给 Microsoft。

AnyConnect 4.4MR1（或更高版本）和 4.3MR5 与 Windows 10 Creators 版本 (RS2) 兼容。

AnyConnect 4.1MR4(4.1.04011) 及更高版本与 Windows 10 正式版兼容。技术支持中心 (TAC) 支持从 2015 年 7 月 29 日开始提供。

为获得最佳效果，我们建议在 Windows 10 系统上执行 AnyConnect 的全新安装，而不要从 Windows 7/8/8.1 升级。如果计划从已预安装 AnyConnect 的 Windows 7/8/8.1 升级，请确保先升级 AnyConnect，然后再升级操作系统。在升级到 Windows 10 之前，必须卸载网络访问管理器模块。在系统升级完成后，可以在系统上重新安装网络访问管理器。还可以选择完全卸载 AnyConnect，然后在升级到 Windows 10 后，重新安装一个受支持的版本。

过去，如果拆分-包含 (split-include) 网络是本地子网的超网，则不会通过隧道传输本地子网流量，除非配置的拆分-包含 (split-include) 网络与本地子网完全匹配。随着对 CSCum90946 的解析，当拆分-包含网络是本地子网的超网时，本地子网流量可通过隧道传输，除非在访问列表 (ACE/ACL) 中还配置了拆分排除（拒绝 0.0.0.0/32 或 ::/128）。

如果在拆分-包含中配置了超网并且所需行为是要允许 LocalLan 访问，则需要对这一引入 AnyConnect 版本 4.2MR1 的行为进行以下配置：

• 访问列表 (ACE/ACL) 必须同时包含针对超网的许可操作以及针对 0.0.0.0/32 或 ::/128 的拒绝操作。

• 在 AnyConnect 配置文件中启用“本地 LAN 访问”(Local LAN Access)（在配置文件编辑器的“首选项第 1 部分”[Preferences Part 1] 菜单中）。（另外，您还可以使用该选项将其设为用户可控制。)

2017 年 2 月 14 日后，Windows Internet Explorer 11/Edge 浏览器或 Windows AnyConnect 终端使用 SHA-1 证书的安全网关或以 SHA-1 为中间证书的证书可能不再被视为有效。2017 年 2 月 14 日后，Windows 终端可能认为使用 SHA-1 证书的安全网关或中间证书不再可信。我们强烈建议您的安全网关不要使用 SHA-1 身份证书，也不要再使用 SHA-1 作为任何中间证书。

Microsoft 已对其原有的记录和计时计划进行修改。他们发布了有关如何测试 2017 年 2 月的变更是否会影响您的环境的详细信息。对于使用 SHA-1 安全网关或中间证书或运行旧版 AnyConnect 的客户，思科无法对 AnyConnect 的正常运行做出任何保证。

思科强烈建议客户密切关注 AnyConnect 的最新维护版本，以确保随时获取所有可用的修复补丁。签有有效 AnyConnect Plus、Apex 和仅 VPN 条款/合同的客户，可通过 Cisco.com 软件中心获取最新版本 AnyConnect 4.x 及更高版本。不再对 AnyConnect 版本 3.x 实施主动维护，亦不应再使用它们进行任何部署。

注	在 Microsoft 逐步淘汰 SHA-1 的同时，思科已确认 AnyConnect 4.3 和 4.4（及更高版本） 可以继续正常运行。长期来看，Microsoft 计划在所有环境下的 Windows 中都不再信任 SHA-1，但他们当前的公告尚未就此提供任何细节或时间信息。根据淘汰的确切日期，许多较早版本的 AnyConnect 随时可能无法再正常运行。有关更多信息，请参阅 Microsoft 公告。

（对于 Windows 7、8 和 8.1 用户），当客户端使用 SHA512 证书进行身份验证时，身份验证失败，即使客户端日志显示该证书处于使用状态，亦不例外。ASA 日志可正确显示 AnyConnect 未发送任何证书。Windows 的这些版本要求您在 TLS 1.2 中启用对 SHA512 证书的支持，系统默认情况下不支持该证书。要了解如何对这些 SHA512 证书提供支持，请参阅 https://support.microsoft.com/en-us/kb/2973337。

由于 OpenSSL 标准开发团队将部分密码套件标记为已被泄露，在 AnyConnect 3.1.05187 以外，我们不再对这些密码套件提供支持。不受支持的密码套件如下：DES-CBC-SHA、RC4-SHA 和 RC4-MD5。

同样，我们的加密工具包已中断对 RC4 密码的支持；因此，我们对其的相应支持也将随版本 3.1.13011 和 4.2.01035 等终止。

在全新安装后，您会按预期看到 ISE 安全评估日志跟踪消息。但是，如果进入 ISE 安全评估配置文件编辑器并将“启用代理日志跟踪”(Enable Agent Log Trace) 文件更改为 0（禁用），则必须执行 AnyConnect 服务重新启动来获得预期结果。

如果使用 macOS 10.9 或更高版本并想要使用 ISE 终端安全评估，可能需要执行以下操作来避免出现问题：

• 在安全评估期间，关闭证书验证以避免出现“无法联系策略服务器”(failed to contact policy server") 错误。

• 禁用强制网络门户应用；否则，发现探测会被阻止，且应用仍会处于安全评估前的 ACL 状态。

macOS 上的 Firefox 证书存储在存储时提供允许所有用户修改存储内容的权限，这让未授权用户或进程能够将非法 CA 添加到受信任的根存储中。AnyConnect 不再将 Firefox 存储用于服务器验证或客户端证书。

如有必要，请向您的用户说明如何从 Firefox 证书存储库中导出 AnyConnect 证书，以及如何将它们导入到 macOS 密钥链。以下步骤是可能需要告知 AnyConnect 用户的内容示例。

1. 导航到 Firefox > 首选项 > 隐私和安全 > 高级的“证书”选项卡，然后单击查看证书。

2. 选择用于 AnyConnect 的证书，然后单击 导出 (Export）。

   您的 AnyConnect 证书很可能在“颁发机构”(Authorities) 类别下。请与您的证书管理员核实，因为这些证书可能在其他类别（“您的证书”[Your Certificates] 或“服务器”[Servers]）之下。

3. 选择一个位置用于保存证书，例如，位于桌面的文件夹。

4. 在“格式”(Format) 下拉菜单中，选择 X.509 证书 (DER) (X.509 Certificate [DER])。如果需要，将 .der 扩展名添加到证书名称。

   

   注	如果使用/需要多个 AnyConnect 证书和/或私钥，请对每个证书重复上述流程）。

5. 启动秘钥链。导航到“文件”(File)、“导入项目...”(Import Items...)，然后选择从 Firefox 导出的证书。

   在“目标密钥链：”(Destination Keychain:) 中，选择所需的密钥链。您公司使用的登录密钥链可能与本例中所用的登录密钥链不同。请咨询证书管理员，了解应将您的证书导入哪个密钥链。

6. 在“目标密钥链：”(Destination Keychain:) 中，选择所需的密钥链。您公司使用的登录密钥链可能与本例中所用的登录密钥链不同。请咨询证书管理员，了解应将您的证书导入哪个密钥链。

   
   

   

   
   

7. 对 AnyConnect 使用或需要的其他证书重复前述步骤。

(CSCue04930) 在 ASDM 中选择 SSLv3 “仅限 SSLv3”或“协商 SSLv3”选项时，HostScan 不会正常工作（配置 > 远程访问 VPN > 高级 > SSL 设置 > 要作为服务器协商的安全设备的 SSL 版本）。ASDM 中会显示警告消息，用于提醒管理员。

Safari 的 WebLaunch 存在问题。OS X 10.9 (Mavericks) 随附的 Safari 版本中的默认安全设置阻止 AnyConnect WebLaunch 正常工作。若要配置 Safari 允许使用 WebLaunch，请如下所述，将 ASA 的 URL 编辑为不安全型号。

Safari 9 （及更早版本）

1. 打开 Safari 首选项。

2. 选择安全首选项。

3. 单击管理网站设置 ... 按钮。

4. 从左侧列出的选项中选择 Java 。

5. 对于您尝试连接的网站 "Hostname_or_IP_address"，将该选项从屏蔽更改为无间断。

6. 单击完成。

Safari 10（及更高版本）

1. 打开 Safari 首选项。

2. 选择安全首选项。

3. 将互联网插件: 选项选中为允许插件。

4. 选择插件设置按钮。

5. 从左侧列出的选项中选择 Java 。

6. 突出显示您尝试连接的 "Hostname_or_IP_address"。

7. 按住 Alt（或选项），然后单击下拉菜单。确保选中打开，且取消选中在安全型号下运行。

8. 单击完成。

可使用受限用户帐户通过 WebLaunch 自动升级 AnyConnect 软件，但前提是不需要对 ActiveX 控件进行更改。

有时，由于安全修复或新增功能等原因，该控件将更改。

如果通过受限用户帐户调用时，该控件要求升级，那么管理员必须使用 AnyConnect 预安装程序、SMS、GPO 或其他管理部署方法部署该控件。

Java 7 可能会导致 AnyConnect 安全移动客户端、HostScan、CSD 和无客户端 SSL VPN (WebVPN) 出现问题。有关问题和解决方法的说明，请参阅故障排除技术说明与 AnyConnect，CSD / Hostscan 和 WebVPN 相关的 Java 7 问题 - 故障排除指南。详细信息请查阅“安全”(Security) >“思科 Hostscan”(Cisco Hostscan) 下的思科文档。

在配置“所有网络通过隧道”(Tunnel All Networks) 的情况下，为了让本地 DHCP 流量能够不受阻碍地传输，AnyConnect 在 AnyConnect 客户端连接时将向本地 DHCP 服务器添加特定路由。为了防止此路由出现数据泄露，AnyConnect 还对主机计算机的局域网适配器应用隐式过滤器，在该路由中阻止除 DHCP 流量外的所有流量。

思科仅在通过蓝牙或 USB 连接的 Apple iPhone 上通过 AnyConnect VPN 客户端资格审查。对于其他连接设备提供的网络连接，应在部署前面向 AnyConnect VPN 客户端进行验证。

AnyConnect 在以下环境中支持智能卡提供的凭证：

• Windows7、Windows 8 和 Windows 10 中的 Microsoft CAPI 1.0 和 CAPI 2.0。

• macOS 上的密钥链，以及 macOS 10.12 及更高版本上的 CryptoTokenKit。

  注	AnyConnect 不支持 Linux 或 PKCS #11 设备上的智能卡。

思科使用以下虚拟机环境执行部分 AnyConnect 客户端测试：

• VM Fusion 7.5.x、10.x、11.5.x

• ESXi Hypervisor 6.0.0、6.5.0 和 6.7.x

• VMware Workstation 15.x

我们不支持在虚拟环境中运行 AnyConnect；但是，我们预期 AnyConnect 会在我们执行测试的 VMWare 环境中正常运行。

如果您在虚拟环境中遇到任何 AnyConnect 问题，请报告给我们。我们将尽力解决这些问题。

与 ASA 8.4(1) 或更高版本配合使用的 AnyConnect 3.0 或更高版本在使用 RADIUS/MSCHAP 和 LDAP 协议发送的密码中支持 UTF-8 字符。

如果对运行 AnyConnect 的客户端禁用自动更新，ASA 必须安装相同的 AnyConnect 版本或更低版本，否则客户端无法连接到 VPN。

若要避免此问题，请在 ASA 上配置相同版本或更低版本的 AnyConnect 软件包，或通过启用自动更新将客户端升级到新版本。

当网络访问管理器运行时，它会对网络适配器进行独占控制，并会阻止其他软件连接管理器（包括 Windows 本地连接管理器）尝试建立连接。因此，如果希望 AnyConnect 用户使用终端计算机上的其他连接管理器（例如 iPassConnect Mobility Manager），则必须通过网络访问管理器 GUI 上的“禁用客户端”(Disable Client) 选项，或通过停止网络访问管理器服务，来禁用网络访问管理器。

Intel 无线网络接口卡驱动程序版本 12.4.4.5 与网络访问管理器不兼容。如果此驱动程序与网络访问管理器安装在同一终端上，可能会导致不一致的网络连接和 Windows 操作系统突然关闭。

AnyConnect 客户端利用证书的 Windows 密码运营商 (CSP) 对 IPsec/IKEv2 VPN 连接的 IKEv2 身份验证阶段所需数据进行哈希计算和签名。如果 CSP 不支持 SHA 2 算法，且为伪随机功能 (PRF) SHA256、SHA384 或 SHA512 配置了 ASA，并同时为证书或证书和 AAA 身份验证配置了连接配置文件（隧道组），则证书身份验证失败。用户收到“证书验证失败”(Certificate Validation Failure) 消息。

对于属于不支持 SHA 2 类算法的 CSP 的证书，此验证失败仅发生在 Windows 上。其他支持的操作系统不存在此问题。

若要避免此问题，可以将 ASA 上 IKEv2 策略的 PRF 配置为 md5 或 sha (SHA 1)。或者，可以将证书 CSP 值修改为有效的本地 CSP，例如 Microsoft 增强 RSA 和 AES 加密提供程序。请勿将此变通方法应用于智能卡证书。不能更改 CSP 名称。而应联系智能卡提供商，获取支持 SHA 2 算法的更新 CSP。

小心	如果未能正确执行下述变通操作，则可能会损坏用户证书。指定证书更改时，请格外谨慎。

您可以使用 Microsoft Certutil.exe 实用程序修改证书 CSP 值。Certutil 是管理 Windows CA 的命令行实用程序，在 Microsoft Windows Server 2003 管理工具包中提供。您可以从以下 URL 下载工具包：

http://www.microsoft.com/downloads/en/details.aspx?FamilyID=c16ae515-c8f4-47ef-a1e4-a8dcbacff8e3&displaylang=en

按以下步骤运行 Certutil.exe 和更改证书 CSP 值：

1. 打开终端计算机上的命令窗口。

2. 使用以下命令，查看用户存储中的证书及其当前的 CSP 值：certutil -store -user My

   以下示例显示了通过此命令显示的证书内容：

   
   ================ Certificate 0 ================
   Serial Number: 3b3be91200020000854b
   Issuer: CN=cert-issuer, OU=Boston Sales, O=Example Company, L=San Jose,
   S=CA, C=US, E=csmith@example.com
   NotBefore: 2/16/2011 10:18 AM
   NotAfter: 5/20/2024 8:34 AM
   Subject: CN=Carol Smith, OU=Sales Department, O=Example Company, L=San Jose, S=C
   A, C=US, E=csmith@example.com
   Non-root Certificate
   Template:
   Cert Hash(sha1): 86 27 37 1b e6 77 5f aa 8e ad e6 20 a3 14 73 b4 ee 7f 89 26
     Key Container = {F62E9BE8-B32F-4700-9199-67CCC86455FB}
     Unique container name: 46ab1403b52c6305cb226edd5276360f_c50140b9-ffef-4600-ada
   6-d09eb97a30f1
     Provider = Microsoft Enhanced RSA and AES Cryptographic Provider
   Signature test passed
   

3. 识别证书的 <CN> 属性。在此示例中，CN 是 Carol Smith。您会在下一步中需要此信息。

4. 使用以下命令修改证书 CSP。以下示例使用主题 <CN> 值选择要修改的证书。您也可以使用其他属性。

   在 Windows 7 或更高版本上，使用此命令：certutil -csp "Microsoft Enhanced RSA and AES Cryptographic Provider" -f -repairstore -user My <CN> carol smith

5. 重复第 2 步并验证证书出现的新 CSP 值。

防病毒软件、反恶意软件和入侵防御系统 (IPS) 等应用可以将 思科 AnyConnect 应用的行为误判为恶意行为。您可以配置例外以避免此类误判。安装 AnyConnect 模块或软件包后，请配置您的防病毒软件以允许 Cisco AnyConnect 安装文件夹，或将 Cisco AnyConnect 应用程序归为安全例外。

IKEv2 不支持公共侧代理。如果您需要支持该功能，请使用 SSL。根据安全网关发送的配置指令，IKEv2 和 SSL 均支持专用侧代理。IKEv2 应用从网关发送的代理配置，随后的 HTTP 流量应遵循该代理配置。

AnyConnect 有时会接收并丢弃某些路由器的数据包片段，这会导致某些网络流量无法通过。

若要避免此问题，请降低 MTU 值。我们建议使用 1200。以下示例展示如何使用 CLI 执行此操作：

hostname# config t
hostname(config)# group-policy DfltGrpPolicy attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# anyconnect mtu 1200

若要使用 ASDM 设置 MTU，请转到配置 > 网络（客户端）访问 > 组策略 > 添加 或编辑 > 高级 > SSL VPN 客户端。

如果 DTLS 启用失效对等项检测 (DPD)，客户端会自动确定路径 MTU。如果之前使用 ASA 降低了 MTU，则应将该设置还原为默认值 (1406)。在建立隧道连接期间，客户端使用特殊 DPD 数据包自动调整 MTU。如果仍有问题，请如之前那样，使用 ASA 中的 MTU 配置来限制 MTU。

若要使用网络访问管理器，可能需要调整 FreeRADIUS 配置。默认禁用所有与 ECDH 相关的密码，以防出现漏洞。在 /etc/raddb/eap.conf 中，更改 cipher_list 值。

当客户端在同一网络的无线接入点之间漫游时，运行 Windows 7 或更高版本的移动终端必须执行完整的 EAP 身份验证，而不能利用更加快速的 PMKID 重新关联。因此，在某些情况下，如果有效配置文件需要，AnyConnect 会提示用户为每次完整身份验证输入凭证。

除非已指定 IPv6 地址、域名、地址范围或通配符，否则 IPv6 网络流量会被发送至扫描代理并由扫描代理执行 DNS 查找，以确定是否存在与用户尝试连接的 URL 对应的 IPv4 地址。如果扫描代理找到 IPv4 地址，它会使用该地址进行连接。如果未找到 IPv4 地址，则会终止连接。

如果希望所有 IPv6 流量绕过扫描代理，可以为所有 IPv6 流量添加此静态例外 ::/0。执行此操作会使所有 IPv6 流量绕过所有扫描代理。这意味着 IPv6 流量不受思科云网络安全的保护。

在用户使用 AnyConnect 在远程局域网上与 Windows 7 或更高版本建立 VPN 会话后，用户局域网中其他设备上的网络浏览器会显示受保护远程网络上的主机的名称。但是，其他设备无法访问这些主机。

若要确保 AnyConnect 主机阻止主机名（包括 AnyConnect 终端主机的名称）在子网间泄露，请将该端点配置为永不成为主要或备用浏览器。

1. 在“搜索程序和文件”文本框中输入 regedit。

2. 导航到 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Browser\Parameters\

3. 双击 MaintainServerList。

“编辑字符串”(Edit String) 窗口将打开。

1. 输入 No。

2. 单击 OK。

3. 关闭“注册表编辑器”(Registry Editor) 窗口。

在分发点仅内部可访问的情况下，如果 AnyConnect 尝试验证指定 LDAP 证书吊销列表 (CRL) 分发点的服务器证书，系统会在身份验证后显示 AnyConnect 证书吊销警告弹出窗口。

若要避免显示此弹出窗口，请执行以下操作之一：

• 在没有任何隐私 CRL 要求的情况下获取证书。

• 在 Internet Explorer 中禁用服务器证书吊销检查。

  小心	在 Internet Explorer 中禁用服务器证书吊销检查可能会对操作系统的其他用途产生严重安全影响。

如果尝试在本地化文件中搜索消息，这些消息可以长达多行，如以下示例所示：

msgid ""
"The service provider in your current location is restricting access to the "
"Secure Gateway. "

当 macOS 版 AnyConnect 客户端尝试与运行 IOS 的网关建立 SSL 连接时，或者当该 AnyConnect 客户端尝试使用特定类型的路由器（例如思科虚拟办公室 [CVO] 路由器）与 ASA 建立 IPsec 连接时，某些网络流量可以通过该连接，而其他流量则无法通过。AnyConnect 可能会错误地计算 MTU。

若要解决此问题，请从 macOS 命令行使用以下命令，将 AnyConnect 适配器的 MTU 手动设置为较低的值：

sudo ifconfig utun0 mtu 1200（适用于 macOS v10.7 及更高版本）

在 Windows 计算机上，具有有限或标准权限的用户有时可能对其程序数据文件夹具有写入访问权限。这让他们能够删除 AnyConnect 配置文件，由此规避永远在线功能。若要避免这种情况，请将计算机配置为限制对 C:\ProgramData 文件夹的访问，或至少配置为限制对 Cisco 子文件夹的访问。

使用 Windows 7 或更高版本的无线承载网络功能会让 AnyConnect 变得不稳定。使用 AnyConnect 时，不建议启用此功能或运行启用此功能的前端应用（例如 Connectify 或虚拟路由器）。

AnyConnect 要求 ASA 接受 TLSv1 或 TLSv1.2 流量，而不是 SSLv3 流量。SSLv3 密钥派生算法在使用 MD5 和 SHA-1 时会弱化密钥派生。SSLv3 的后续协议 TLSv1 解决了 SSLv3 中存在的这一问题及其他安全问题。

因此，AnyConnect 客户端无法使用“ssl server-version”的以下 ASA 设置建立连接：

ssl server-version sslv3

ssl server-version sslv3-only

如果设备上有 Trend Micro，网络访问管理器将因驱动程序冲突而不会安装。可卸载 Trend Micro 或取消选中 trend micro common firewall driver 来绕过该问题。

受支持的反恶意软件和防火墙产品均不会报告上次扫描时间信息。HostScan 会报告以下内容：

• 对于反恶意软件

  • 产品描述

  • 产品版本

  • 文件系统保护状态（主动扫描）

  • 数据文件时间（上次更新时间和时间戳）

• 对于防火墙

  • 产品描述

  • 产品版本

  • 是否已启用防火墙

如果启用 IPv6，且 Internet Explorer 中启用了代理设置的自动发现或当前网络环境不支持代理设置的自动发现，那么可能在 Windows 中体验到长时间重新连接。解决方法是，在当前网络环境不支持代理自动发现的情况下，断开 VPN 连接未使用的所有物理网络适配器或在 IE 中禁用代理自动发现。在版本 3.1.03103 中，具有多宿主系统的用户也可能会体验到长时间重新连接。

在 Windows 7 或更高版本上，具有有限权限的用户帐户无法升级 ActiveX 控件，并因此无法使用网络部署方法升级 AnyConnect 客户端。作为最安全的选项，思科建议用户通过连接到前端并升级来从应用内部升级客户端。

注	如果之前使用了管理员帐户在客户端上安装 ActiveX 控件，则用户可以升级 ActiveX 控件。

网络访问管理器不支持 PKC 或 CCKM 缓存。在 Windows 7 上，无法使用非思科无线网卡进行快速漫游。

AnyConnect 安全移动客户端包括应用编程接口 (API)，可供想要编写自己的客户端程序的用户使用。

API 软件包包含文档、源文件和库文件，可支持思科 AnyConnect VPN 客户端的 C++ 接口。可以使用库和示例程序在 Windows、Linux 和 MAC 平台上构建。Windows 平台的生成文件（或项目文件）也包括在内。对于其他平台，它包括展示如何编译示例代码的平台特定脚本。网络管理员可以将应用（GUI、CLI 或嵌入式应用）链接到此类文件和库。

您可以从 Cisco.com 下载 API。

有关 AnyConnect API 的支持问题，请发送邮件到以下地址：anyconnect-api-support@cisco.com。