安装了 CTA 的防毒墙网络版客户端首先在 ACS 服务器认证，然后才能传递客户端安全状态。可使用多种方法来认证（请参阅 Cisco Secure ACS 文档以获取详细信息）。例如，您可能已经启用了使用 Windows Active Directory 的 Cisco Secure ACS 的计算机认证，Windows Active Directory 可以被配置为在有新计算机添加到活动目录中时自动生成最终用户客户端证书。有关说明，请参阅 Microsoft Knowledge Base Article 313407, HOW TO:Create Automatic Certificate Requests with Group Policy in Windows（如何在 Windows 中使用组策略来自动创建证书请求。）

对于具有自己的证书颁发机构 (CA) 服务器但其最终用户客户端尚未具有证书的用户，防毒墙网络版提供了一种将根证书分发到防毒墙网络版客户端的机制。在防毒墙网络版安装过程中或从防毒墙网络版 Web 控制台中分发证书。防毒墙网络版在其将 Cisco Trust Agent 部署到客户端时分发证书（请参阅Cisco Trust Agent 部署）。

将证书分发到客户端之前，先在 CA 服务器登记 ACS 服务器，然后再准备证书（请参阅Cisco Secure ACS 服务器登记获取详细信息）。