排除Cisco安全客戶端VPN常見問題
目錄
簡介
本文檔介紹在Windows、macOS和Linux上出現應用故障和斷開連線的Cisco Secure Client問題。
必要條件
需求
使用本檔案之前,請確認您已有:
- 終端上的Cisco Secure Client 5.x(或頭端支援的版本)。
- 能夠收集DART套件包或客戶端日誌。
- 對VPN頭端(ASA或FTD)的管理訪問。
採用元件
本檔案中的資訊是根據:
- 用戶端:Cisco Secure Client 5.x(AnyConnect VPN模組)。
- 頭端:含遠端存取VPN的Cisco ASA 9.x或Cisco安全防火牆威脅防禦(FTD)。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
檢視《產品管理員指南》中的Troubleshoot Cisco Secure Client。
疑難排解程式
本文檔詳細介紹Cisco Secure Client VPN問題(包括AnyConnect),包括Windows、macOS、Linux和Cisco ASA/FTD頭端配置上的應用程式故障、意外斷開和常見錯誤。
- 不通過VPN隧道工作的應用程式。
- 客戶端意外連線/斷開連線。
- 客戶端或頭端上出現的常見錯誤消息。
這包括Windows、macOS和Linux上的VPN客戶端,包括思科ASA和思科安全防火牆威脅防禦(FTD)遠端訪問上的頭端配置。VPN。
提示:在故障排除之前,收集思科安全客戶端DART捆綁包。您可以使用DART Analyzer BDB任務分析DART輸出。
檢視以下部分以解決常見問題和解決方案:
- 收集故障排除資訊
- 安裝和虛擬介面卡問題
- 中斷連線或無法建立初始連線
- 傳遞流量的問題
- AnyConnect 當機問題
- 分段/傳遞流量的問題
- 自動解除安裝
- 填入叢集 FQDN 時發生問題
- 備份伺服器清單組態
收集故障排除資訊
在更改配置之前收集客戶端和頭端資料。TAC通常請求DART套件。
客戶端 — 統計和DART
- 匯出連線統計資訊
- Windows:齒輪圖示>高級視窗>統計資訊> AnyConnect VPN >匯出統計資訊
- macOS:「統計資訊」圖示>「匯出統計資訊」
- Linux:客戶端GUI的詳細資訊
- 運行DART
- Windows/Linux:齒輪圖示>「高級視窗」>「診斷」
- macOS:「應用程式」選單>生成診斷報告
- 嵌入式瀏覽器問題:高級視窗>常規> Web瀏覽器>清除資料。
頭端 — ASA
- show running-config
- show vpn-sessiondb detail anyconnect filter name <username>
- 調試示例:
configure terminal logging enable logging timestamp logging class auth console debugging logging class webvpn console debugging logging class ssl console debugging logging class anyconnect console debugging
重現故障,捕獲輸出,然後啟用無日誌記錄。
頭端 — FTD
從FMC/CDO匯出遠端訪問VPN策略和連線配置檔案設定。收集失敗視窗的FTD SSL VPN/連線日誌。
安裝和虛擬介面卡問題
如果安裝或虛擬介面卡安裝失敗,請收集:
- Windows安裝程式日誌:
%SystemRoot%\Inf\setupapi.dev.log %SystemRoot%\Inf\setupapi.setup.log
- MSI安裝程式日誌:%LOCALAPPDATA%\Temp\ 或%SystemRoot%\Temp\ — filename cisco-secure-client-win-*-install-*.log(最新版本為您的版本)。
- 詳細MSI(如果需要):
msiexec /i cisco-secure-client-win-<version>-predeploy-k9.msi /lvx %TEMP%\ac-install.log
- 系統資訊:msinfo32 /nfo %TEMP%\msinfo.nfo和systeminfo > %TEMP%\sysinfo.txt
有關驅動程式資料庫錯誤的資訊,請參閱Cisco Secure Client:驅動程式資料庫損壞問題和管理員指南部分VPN客戶端驅動程式遇到錯誤(在Microsoft Windows Update之後)。
中斷連線或無法建立初始連線
如果您遇到Cisco Secure Client連線問題,請在更改配置之前根據收集資訊以進行故障排除收集資料。
- 頭端配置:show running-config或從FMC/CDO for FTD匯出策略。
- 客戶端日誌:收集DART套件(請參閱收集資訊)。 不要依賴舊版事件檢視器.evt導出。
- ASA調試(如果需要):在偵錯時啟用logging class auth、webvpn、ssl和anyconnect;再現故障;捕獲控制檯輸出;然後no logging enable。
如果使用者無法連線,則問題可能與遠端案頭通訊協定(RDP)或快速使用者交換有關。使用者可以看到:AnyConnect配置檔案設定要求使用單個本地使用者,但多個本地使用者當前已登入到您的電腦。無法建立VPN連線。
斷開RDP會話並禁用快速使用者交換。同一台電腦上不支援多個同時本地使用者建立VPN。
當使用者無法連線時,問題可能是由於Cisco Secure Client版本與頭端軟體之間的不相容引起的。使用者可以接收:安裝程式無法啟動Cisco VPN客戶端,無客戶端訪問不可用。請將客戶端升級到ASA或FTD遠端訪問VPN部署所支持的版本。
首次登入到Cisco Secure Client時,登入指令碼可能會出現問題。如果斷開連線並再次登入,則登入指令碼通常按預期運行。這可能是預期行為,具體取決於配置檔案和指令碼計時。
連線時,您可以接收:未獲得AnyConnect客戶端訪問許可權的使用者,請與管理員聯絡。當頭端缺少安全客戶端映像時,通常會出現這種情況。上傳正確的客戶端映像,並在RA VPN/WebVPN配置中引用該映像。
當DTLS通道因失效對等體檢測(DPD)故障而關閉時,DART可以顯示TUNNELPROTOCOL dpdmgr_ERROR_NO_DPD_RESPONSE。在ASA上調整keepalive:
webvpn anyconnect ssl keepalive 15 anyconnect dpd-interval client 5 anyconnect dpd-interval gateway 5
僅將DTLS禁用為臨時測試(ASDM:Configuration > Remote Access VPN > Network(Client)Access > AnyConnect Connection Profiles,取消選中Enable DTLS或FMC equivalent)。 首選修復DPD計時並允許UDP 443。
傳遞流量的問題
當檢測到通過ASA通過Cisco安全客戶端會話將流量傳送到專用網路時出現問題時,請完成以下資料收集步驟:
- 從ASA控制檯獲取show vpn-sessiondb detail anyconnect filter name <username>的輸出。如果輸出顯示Filter Name:XXXXX,收集show access-list XXXXX。驗證訪問清單是否未阻止預期流量。
- 匯出連線統計資訊:Cisco Secure Client > Gear > Advanced Window > Statistics > AnyConnect VPN > Export Stats。
- 檢查ASA配置中是否有nat語句。如果啟用網路位址轉譯(NAT),則會豁免返回使用者端的流量。免除AnyConnect池的NAT示例:
access-list in_nat0_out extended permit ip any 10.136.246.0 255.255.255.0 ip local pool IPPool1 10.136.246.1-10.136.246.254 mask 255.252.0.0 nat (inside) 0 access-list in_nat0_out
- 確定是否必須啟用隧道預設網關。範例:
route outside 0 0 10.145.50.1 route inside 0 0 10.0.4.2 tunneled
如果客戶端必須到達不在VPN網關路由表中的資源,則tunneled關鍵字通過VPN隧道路由該流量。 - 驗證檢查策略是否丟棄應用流量。您可以在模組化策略框架下免除協定。skinny示例:
ASA(config)# policy-map global_policy ASA(config-pmap)# class inspection_default ASA(config-pmap-c)# no inspect skinny
AnyConnect 當機問題
請完成以下資料收集步驟:
- 在崩潰後立即收集DART。
- 注意vpnagent.exe / acvpnui.exe的Windows錯誤報告條目。
- 客戶端日誌:%LOCALAPPDATA%\Cisco\Cisco Secure Client\Logs(驗證版本的路徑)。
分段/傳遞流量的問題
當通道透過較小的流量(如小量ping)時,某些應用程式(例如Microsoft Outlook)無法運作。這可能表示路徑上的分段。使用者路由器經常分段和重組效果不佳。
嘗試一組ping:ping -l 500、ping -l 1000、ping -l 1500、ping -l 2000。
為受影響的使用者配置專用組策略並設定較低的MTU:
group-policy <name> attributes webvpn anyconnect mtu 1200
自動解除安裝
問題
即使ASDM/FMC中顯示保留安裝,連線終止後,思科安全客戶端也會自行解除安裝。
解決方案
group-policy <name> attributes webvpn anyconnect keep-installer installed
填入叢集 FQDN 時發生問題
問題:AnyConnect客戶端預填充了主機名,而不是群集完全限定域名(FQDN)。
當您擁有用於SSL VPN的負載平衡集群並且客戶端連線時,請求可以重定向到集群節點並登入成功。在以後的連線嘗試中,群集FQDN不會顯示在連線到中;可以改為顯示最後一個節點的主機名。
解決方案
客戶端快取上次成功的主機名。清除快取的條目或在配置檔案伺服器清單中設定群集FQDN。在Cisco Secure Client 5.x上驗證。如需平台特定說明,請參閱Cisco錯誤ID CSCsz39019。
備份伺服器清單組態
當主伺服器無法訪問時,會配置備份伺服器清單。在客戶端配置檔案的Backup Server窗格中定義它。請完成以下步驟:
- 使用配置檔案編輯器從頭端安全客戶端軟體包或根據《安全客戶端5.1配置檔案配置指南》編輯配置檔案。在ASDM或FMC中分配配置檔案。
- 建立或編輯XML配置檔案:
- 移至伺服器清單標籤。
- 按一下「新增」。
- 輸入主伺服器主機名。
- 在備份伺服器清單下新增備份伺服器,然後按一下Add。
- 將配置檔案分配給ASA上的連線:
- 在ASDM中:Configuration > Remote Access VPN > Network(Client)Access > AnyConnect Connection Profiles。
- 選取您的設定檔,然後按一下「編輯」。
- 在「預設群組原則」區段中,按一下「管理」。
- 選取您的群組原則,然後按一下「編輯」。
- 選擇Advanced,然後選擇SSL VPN Client。
- 按一下New,命名配置檔案,然後分配XML檔案。
- 連線客戶端以下載配置檔案。
思科安全使用者端:驅動程式資料庫損壞問題
SetupAPI.log檔案中的以下項表明目錄系統已損壞:
W239 驅動程式簽署類別清單「C:\WINDOWS\INF\certclas.inf」遺失或無效。錯誤0xfffde5:未知錯誤。假設所有裝置類都受驅動程式簽名策略的約束。您也可接收:錯誤(3/17):無法啟動VA、設定共用隊列或VA放棄共用隊列。
您可以在客戶端上接收此日誌:「VPN客戶端驅動程式遇到錯誤」。
修復
此問題與Cisco錯誤ID CSCsm54689相關。在啟動Cisco安全客戶端之前,請禁用路由和遠端訪問服務(RRAS)。如果問題仍然存在:
- 在Windows上以Administrator身份開啟命令提示符。
- 執行 net stop CryptSvc。
- 執行:
esentutl /p%systemroot%\System32\catroot2\ {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb - 出現提示時,選擇OK嘗試修復。
- 結束命令提示字元。
- 重新開機。
無法修復
如果修復失敗:
- 在Windows上以Administrator身份開啟命令提示符。
- 執行 net stop CryptSvc。
- 將%WINDIR%\system32\catroot2重新命名為catroot2_old。
- 結束命令提示字元。
- 重新開機。
分析資料庫
您可以隨時分析資料庫以確定其是否有效。
- 在Windows上以Administrator身份開啟命令提示符。
- 執行:
esentutl /g%systemroot%\System32\catroot2\ {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb
請參閱系統目錄資料庫完整性以瞭解更多資訊。
錯誤訊息
錯誤:無法更新會話管理資料庫
基於瀏覽器的SSL VPN或Web門戶身份驗證期間可能出現此錯誤。客戶端或門戶顯示無法更新會話管理資料庫。ASA可以記錄%ASA-3-211001:記憶體分配錯誤。調適型安全設備無法配置 RAM 系統記憶體。
情境 1
與Cisco錯誤ID CSCsm51093相關。請重新載入ASA或根據錯誤升級到固定版本。在FTD上,驗證平台記憶體和RA VPN會話限制。
情境 2
可用頭端記憶體:
- 如果已啟用威脅檢測,請禁用該檢測。
- 禁用AnyConnect壓縮:anyconnect compression none在group-policy webvpn(組策略webvpn)部分下。
- 重新載入 ASA。
- 在具有256 MB RAM的較舊ASA平台上,如果記憶體耗盡情況持續出現,請升級到512 MB。
錯誤:在思科安全客戶端安裝過程中「模組註冊失敗」
在Windows上安裝期間,安裝程式報告模組(例如vpnapi.dll)無法註冊並回滾。
解決方案
- 暫時刪除衝突的VMware虛擬網路介面卡;重新安裝安全客戶端;重新新增VMware。
- 如果使用Web部署,請將頭端FQDN新增到受信任的站點。
- 在C:\Program Files\Cisco\Cisco Secure Client\中,運行提升的:regsvr32 vpnapi.dll(以及vpncommon.dll、vpncommoncrypt.dll(如果存在))。
- 如果安裝仍失敗,請收集MSI詳細日誌(請參見安裝部分)和DART。
- 作為最後手段,請修復Windows或從乾淨的Secure Client解除安裝重新部署。
錯誤:「收到來自安全網關的響應VPN協商請求的錯誤。請聯絡網路管理員。」
當使用者端連線到Cisco Secure Client時,閘道會傳回錯誤,例如「Illegal address class」、「Host or network is 0」或「Other error」。
解決方案
ASA或FTD本地IP池已用完或配置錯誤。展開VPN地址池並使用適當的掩碼(例如/24而不是僅/32地址池)。 請參閱思科錯誤ID CSCsl82188。
錯誤:嘗試將anyconnect連線到ASA時,VPN伺服器上未啟用AnyConnect
客戶端報告VPN伺服器上未啟用AnyConnect/安全客戶端。
解決方案
啟用遠端訪問VPN並在頭端部署安全客戶端映像。在ASA上:Configuration > Remote Access VPN > Network(Client)Access > AnyConnect Connection Profiles。在FTD上:在FMC中配置RA VPN和客戶端映像。使用遠端訪問VPN指南 — 而不是無客戶端WebVPN專用配置。
錯誤:- %ASA-6-722036:組客戶端組使用者xxxx IP x.x.x.x傳輸大型資料包1220(閾值1206)
%ASA-6-722036:Group < client-group > User < xxxx > IP < x.x.x.x> Transmitting large packet 1220(threshold 1206)消息出現在ASA日誌中。
解決方案
將大型資料包傳送到客戶端(MTU或不可壓縮資料)。 禁用組策略的壓縮:
group-policy <name> attributes webvpn anyconnect compression none
錯誤:安全網關已拒絕代理的vpn連線或重新連線請求。
例如,網關消息中包括no assigned address、Host or network is 0或No License。
解決方案
驗證頭端在重新載入或故障轉移後是否具有已配置的IP本地池和組策略地址分配:
show running-config | include pool ip local pool SSLPOOL 192.168.30.2 192.168.30.254 anyconnect address-pool SSLPOOL
對於無許可證,請在頭端安裝或啟用所需的安全客戶端移動許可證。
錯誤:"VPN客戶端驅動程式遇到錯誤"
通常,虛擬介面卡故障、RRAS衝突或Windows Update後驅動程式問題。
解決方案
- 在啟動安全客戶端之前禁用路由和遠端訪問服務(RRAS)。
- 完成Cisco Secure Client:如果setupapi顯示目錄錯誤,則損壞驅動程式資料庫問題步驟。
- 在Windows Update之後,使用Secure Client 5.1管理員指南中的修復VPN客戶端驅動程式錯誤。
- 收集DART並在需要時聯絡TAC。請參閱思科錯誤ID CSCsm54689。
錯誤:"無法處理來自xxx.xxx.xxx.xxx的響應"
Cisco Secure Client無法連線Unable to process response from <gateway>。
解決方案
- 在受影響的介面上禁用並重新啟用遠端訪問VPN/WebVPN。
- 將SSL VPN臨時移動到另一個埠(例如444),然後恢復443。
請參閱ASA上的SSL VPN客戶端配置。如果錯誤仍然存在,請收集DART。
錯誤:"登入被拒絕,未授權連線機制,請與管理員聯絡"
Cisco Secure Client顯示Login Denied未經授權的連線機制,請聯絡您的管理員。
解決方案
檢視頭端(ASA或FTD)上的連線配置檔案和身份驗證。 確保使用者端驗證方法(RADIUS、SAML、憑證等)與設定檔相符。驗證組策略和隧道組分配。
錯誤:「Anyconnect軟體包不可用或已損壞。請聯絡您的系統管理員」
從Macintosh客戶端啟動Cisco Secure Client時,可能會出現此錯誤。
解決方案
- 將macOS安全客戶端軟體包上傳到頭端快閃記憶體。
- 在WebVPN配置中參考該指南:
webvpn anyconnect image disk0:/cisco-secure-client-macos-<version>-predeploy-k9.pkg 2
錯誤:"找不到安全網關上的AnyConnect軟體包"
在Linux(或其他平台)上,客戶端無法從頭端下載軟體包。
"The AnyConnect package on the secure gateway could not be located. You may be experiencing network connectivity issues. Please try connecting again."
解決方案
驗證是否支援客戶端作業系統,以及頭端上是否配置了正確的映像:
webvpn anyconnect image disk0:/cisco-secure-client-win-<version>-predeploy-k9.pkg 1 anyconnect image disk0:/cisco-secure-client-macos-<version>-predeploy-k9.pkg 2
有關相關步驟,請參閱AnyConnect軟體包不可用或已損壞。
錯誤:"不支援通過遠端案頭建立安全VPN"
使用者看到通過遠端案頭的Secure VPN不受支援。
解決方案
升級至支援的Cisco Secure Client 5.x版本。請參閱思科錯誤ID CSCsu22088和思科錯誤ID CSCso42825。
錯誤:「收到的伺服器證書或其鏈不符合FIPS。將不會建立 VPN 連線」
客戶端報告伺服器證書或證書鏈不符合FIPS。
解決方案
如果終端上需要FIPS,請使用頭端上的FIPS相容證書。如果不需要,請編輯C:\ProgramData\Cisco\Cisco Secure Client\AnyConnectLocalPolicy.xml並設定<FipsMode>false</FipsMode>,然後重新啟動(需要管理員許可權)。
錯誤:"證書驗證失敗"
使用者無法啟動Cisco Secure Client並接收證書驗證失敗。
解決方案
對於證書身份驗證,匯入客戶端證書,配置證書身份驗證配置檔案,並在ASA上啟用:
ssl certificate-authentication interface outside port 443
確保伺服器證書與配置檔案伺服器清單中的FQDN匹配。
錯誤:「VPN代理服務遇到問題,需要關閉。造成不便,我們深感抱歉」
安裝、升級或連線期間,vpnagent.exe服務失敗。
解決方案
- 在Windows服務中重新啟動Cisco Secure Client - AnyConnect VPN Agent。
- 從頭端Web部署修復或重新安裝。
- 如果服務重複失敗,請收集DART。有關Citrix衝突,請參閱Cisco錯誤ID CSCsq49102。
錯誤:「無法開啟此安裝包。請確認套件是否存在」
Web部署失敗,並出現Windows Installer錯誤:無法開啟程式包。
解決方案
- 驗證是否已完全下載MSI;從頭端門戶重試。
- 暫時停用下載資料夾上的進攻AV;收集詳細的MSI日誌。
- 確保Windows Installer服務正在運行。
- 如果問題仍然存在,請收集DART/MSI日誌並開啟TAC案例。
錯誤:「應用轉換時出錯。請確認指定的轉換路徑有效。」
從頭端自動下載失敗,有時是因為MST轉換損壞。
解決方案
- 從頭端AnyConnect自定義安裝定義中刪除自定義MST轉換。
- 將正確的安全客戶端映像重新上傳到頭端。
- 在ASDM中:網路(客戶端)訪問> AnyConnect自定義>安裝 — 刪除重複條目;將活動映像保持在客戶端設定下。
錯誤:「VPN重新連線導致了不同的配置設定。VPN 網路設定正在重新初始化。使用私人網路的應用程式可能需要還原。」
當頭端推送設定更改時,重新連線後可能會出現此消息。
解決方案
group-policy <Name> attributes webvpn anyconnect mtu 1200
登入時出現思科安全客戶端錯誤
問題:不允許通過本地代理進行VPN連線。可以通過AnyConnect配置檔案設定進行更改。
解決方案
<ProxySettings>IgnoreProxy</ProxySettings> <AllowLocalProxyConnections>false</AllowLocalProxyConnections>
錯誤:在所有這些會話關閉之前,無法啟用AnyConnect Essentials。
ASDM顯示啟用AnyConnect Essentials時正在進行的無客戶端SSL VPN會話。
解決方案
AnyConnect Essentials不能與高級共用SSL VPN許可證同時運行。在啟用Essentials之前結束無客戶端SSL VPN會話。Essentials不包括無客戶端SSL VPN。
錯誤:當其他使用者能夠通過AnyConnect VPN成功連線時,少數使用者會收到「登入失敗」錯誤消息
某些使用者收到Login Failed,而其他使用者可以連線。
解決方案
確保沒有為受影響的使用者正確設定不需要預先身份驗證(或等效操作)。比較組策略和連線配置檔案對映。
錯誤:您正在檢視的證書與您嘗試檢視的站點名稱不匹配。
在Windows上更新配置檔案期間,針對連線URL的證書驗證失敗。
解決方案
<ServerList>
<HostEntry>
<HostName>vpn1.example.com</HostName>
</HostEntry>
</ServerList>
附註:如果證書僅包含FQDN,則刪除使用公共IP的<HostAddress>條目。
在容錯移轉後,AnyConnect 設定檔無法複寫到待命狀態
在ASA故障轉移後,備用裝置上缺少與安全客戶端配置檔案相關的檔案。
解決方案
請參閱思科錯誤ID CSCtn71662。解決方法:手動將配置檔案複製到備用檔案。驗證RA VPN配置檔案的狀態故障切換配置同步。
錯誤消息:TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER
Cisco Secure Client無法連線Unable to establish a connection。事件日誌顯示TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER。
解決方案
這發生在非常大的拆分隧道清單(大約180-200個條目)以及其他組策略屬性(例如,dns-server)中。
- 減少拆分隧道清單條目。
- 暫時禁用DTLS:
group-policy groupName attributes webvpn anyconnect ssl dtls none
請參閱思科錯誤ID CSCtc41770。
錯誤消息:"由於主機條目無效,連線嘗試失敗"
由於證書身份驗證期間的主機條目無效,連線嘗試失敗。
解決方案
- 在配置檔案服務器清單中使用有效的HostName(FQDN)。
- 使用受支持的Cisco Secure Client 5.x。
- 如果仍存在,請刪除已棄用的Cisco Secure Desktop(CSD)策略。
請參閱思科錯誤ID CSCti73316。
錯誤:"如果配置永遠線上VPN,請確保您的伺服器證書能夠通過嚴格模式"
啟用Always-On時,客戶端可以報告伺服器證書必須通過嚴格模式。
解決方案
Always-On需要與連線URL匹配的有效頭端證書。如果證書不受信任或不匹配,則本地策略中的嚴格證書模式會導致失敗。
請參閱Secure Client 5.1管理員指南中的由未知頒發機構認證。
錯誤:「Microsoft Windows HTTP 服務發生內部錯誤」
DART可以顯示HttpSendRequest失敗,並且Microsoft Windows HTTP Services中出現內部錯誤且CTransportWinHttp錯誤。
解決方案
這可能是由損壞的Winsock狀態引起的。在提升的命令提示符下: netsh winsock reset
重新啟動Windows並檢視Microsoft有關重置Winsock的指導。
錯誤:「SSL 傳輸接收到安全通道失敗。 可能是安全閘道未支援密碼編譯組態導致。」
當客戶端和頭端之間的TLS或密碼協商失敗時,Cisco安全客戶端DART可以顯示CTransportWinHttp錯誤和CTransPORT_ERROR_SECURE_CHANNEL_FAILURE。
解決方案
- 在頭端,僅使用TLS 1.2+和現代密碼套件。不要啟用DES、3DES或RC4。
- ASA示例:
ssl cipher tlsv1.2 custom "AES256-GCM-SHA384:AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256"
- 檢查伺服器證書有效性和FQDN匹配。
- 將客戶端和頭端升級到支援的版本。
- 在Windows上,保持Schannel為TLS 1.2+;不要削弱客戶端對過時頭端的加密。
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
3.0 |
23-Jun-2026
|
更新的拼寫、語法、句子結構、簡介、間距和CCW警報。 |
1.0 |
04-Apr-2018
|
初始版本 |
意見