Zainstalowałem bezpieczny klient mobilny cisco anyconnect 4.2.01022 (+ wszystkie wymagane pakiety).
Następnie dodano .pfx
certyfikaty do gnone2-key
magazynu.
Następnie uruchomiłem bezpieczny klient mobilny cisco anyconnect, który napisał, gdzie się połączyć - ale Cisco wciąż mi to mówi Certificate validation failure
Próbowałem tego:
sudo cp /etc/ssl/certs/Global* /opt/.cisco/certificates/ca
link został utworzony, ale nie pomógł. Jak się połączyć?
UPD:
W ten sposób wyodrębniłem niektóre certyfikaty w różnych formatach:
openssl pkcs12 -in store.pfx -clcerts -nokeys -out domain.cer
openssl pkcs12 -in store.pfx -nocerts -nodes -out domain.key
openssl pkcs12 -in store.pfx -out domain.crt -nodes -nokeys -cacerts
openssl pkcs12 -in store.pfx -nocerts -out domain.pem -nodes
Mam 4 pliki:
domain.cer
domain.key
domain.crt
domain.pem
Umieściłem wszystkie 4 z nich w 3 różnych miejscach:
~/.cisco/certificates/ca ~
Zaufany urząd certyfikacji i certyfikaty główne
~/.cisco/certificates/client
Certyfikaty klienta
~/.cisco/certificates/client/private
Klucze prywatne
Ten sam błąd.
UPD2: Próbowałem skonfigurować cisco anyconnect kompatybilny z openconnect (który zintegrował się z centrum sieci linux): Prosi o ustawienie:
CA certificate (it has to be domain.crt, so chosen it)
User certificate (that is it? - didnt choose)
Private key (I think its domain.key, so chosen it)
Ale jeśli spróbuje się połączyć:
Certificate from VPN server [host ip] failed verification.
Reason: certificate does not match hostname
Do you want to accept it?
Certificate from VPN server "194.176.96.4" failed verification.
Reason: certificate does not match hostname
Do you want to accept it?
With below info:
X.509 Certificate Information:
Version: 3
Serial Number (hex): ****
Issuer: C=US,O=DigiCert Inc,OU=www.digicert.com,CN=GeoTrust RSA CA 2018
Validity:
Not Before: **
Not After: **
Subject: C=RU,ST=[city],L=[city],O=[company name],OU=IT,CN=vpn.[companyname].ru
Subject Public Key Algorithm: RSA
Algorithm Security Level: Medium (2048 bits)
....
Akceptuję - i ten sam błąd Błąd weryfikacji certyfikatu, pełny dziennik:
POST https://[host_name]/
Attempting to connect to server [host_name]:443
SSL negotiation with [host_name]
Server certificate verify failed: certificate does not match hostname
Connected to HTTPS on [host_name]
Got HTTP response: HTTP/1.1 200 OK
Content-Type: text/html; charset=utf-8
Transfer-Encoding: chunked
Cache-Control: no-cache
Pragma: no-cache
Connection: Keep-Alive
Date: Sun, 26 Aug 2018 08:43:32 GMT
X-Frame-Options: SAMEORIGIN
X-Aggregate-Auth: 1
HTTP body chunked (-2)
Server requested SSL client certificate; none was configured
POST https://[host_name]/
Got HTTP response: HTTP/1.1 200 OK
Content-Type: text/html; charset=utf-8
Transfer-Encoding: chunked
Cache-Control: no-cache
Pragma: no-cache
Connection: Keep-Alive
Date: Sun, 26 Aug 2018 08:43:32 GMT
X-Frame-Options: SAMEORIGIN
X-Aggregate-Auth: 1
HTTP body chunked (-2)
XML POST enabled
PS: W systemie Windows te same kroki działały, dodałem cert, klikając dwukrotnie, następnie uruchomiłem klienta cisco, wpisałem serwer, a potem zapytałem o hasło do serwera, który pytam - i wtedy byłem połączony.
źródło
system.log
i udostępnić je na dowolnym zewnętrznym serwerze udostępniania plików? Mogę spojrzeć. Sprawdź także ten wątek, jak uzyskać klucz prywatny, plik pem z pfx.Odpowiedzi:
AnyConnect obsługuje certyfikaty klienta w formacie PEM do uwierzytelniania. Sprawdź przewodnik administratora, jak skonfigurować certyfikaty klienta dla platformy Linux. Skopiuj certyfikat klienta do folderu
~/.cisco/certificates/client
i klucz prywatny do~/.cisco/certificates/client/private
. Również -źródło
Miałem podobny problem, chociaż nie jestem pewien, czy używam mobilnej wersji AnyConnect. Mój system operacyjny to Fedora 29. Sieć VPN, z którą próbuję się połączyć, korzysta z zaufanego certyfikatu przeglądarki, ale nie w pakiecie z zainstalowaną wersją Anyconnect.
Pakiet
ca-certificates
został już zainstalowany w moim systemie operacyjnym i dostarcza niezbędny certyfikat, więc dowiązałem/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem
do niego/opt/.cisco/certificates/ca
.źródło