Błąd sprawdzania poprawności certyfikatu podczas korzystania z cisco anyconnect z certyfikatami pfx

2

Zainstalowałem bezpieczny klient mobilny cisco anyconnect 4.2.01022 (+ wszystkie wymagane pakiety).

Następnie dodano .pfxcertyfikaty do gnone2-keymagazynu.

Następnie uruchomiłem bezpieczny klient mobilny cisco anyconnect, który napisał, gdzie się połączyć - ale Cisco wciąż mi to mówi Certificate validation failure

Próbowałem tego:

sudo cp /etc/ssl/certs/Global* /opt/.cisco/certificates/ca

link został utworzony, ale nie pomógł. Jak się połączyć?

UPD:

W ten sposób wyodrębniłem niektóre certyfikaty w różnych formatach:

openssl pkcs12 -in store.pfx -clcerts -nokeys -out domain.cer
openssl pkcs12 -in store.pfx -nocerts -nodes  -out domain.key
openssl pkcs12 -in store.pfx -out domain.crt -nodes -nokeys -cacerts
openssl pkcs12 -in  store.pfx  -nocerts -out domain.pem -nodes

Mam 4 pliki:

domain.cer
domain.key
domain.crt
domain.pem

Umieściłem wszystkie 4 z nich w 3 różnych miejscach:

~/.cisco/certificates/ca ~

Zaufany urząd certyfikacji i certyfikaty główne

~/.cisco/certificates/client

Certyfikaty klienta

~/.cisco/certificates/client/private

Klucze prywatne

Ten sam błąd.

UPD2: Próbowałem skonfigurować cisco anyconnect kompatybilny z openconnect (który zintegrował się z centrum sieci linux): Prosi o ustawienie:

CA certificate (it has to be domain.crt, so chosen it)
User certificate  (that is it? - didnt choose)
Private key  (I think its domain.key, so chosen it)

Ale jeśli spróbuje się połączyć:

Certificate from VPN server [host ip] failed verification.
Reason: certificate does not match hostname
Do you want to accept it?

    Certificate from VPN server "194.176.96.4" failed verification.
    Reason: certificate does not match hostname
    Do you want to accept it?

With below info:
X.509 Certificate Information:
    Version: 3
    Serial Number (hex): ****
    Issuer: C=US,O=DigiCert Inc,OU=www.digicert.com,CN=GeoTrust RSA CA 2018
    Validity:
       Not Before: **
        Not After: **
    Subject: C=RU,ST=[city],L=[city],O=[company name],OU=IT,CN=vpn.[companyname].ru
    Subject Public Key Algorithm: RSA
    Algorithm Security Level: Medium (2048 bits)
....

Akceptuję - i ten sam błąd Błąd weryfikacji certyfikatu, pełny dziennik:

POST https://[host_name]/
Attempting to connect to server [host_name]:443
SSL negotiation with [host_name]
Server certificate verify failed: certificate does not match hostname
Connected to HTTPS on [host_name]
Got HTTP response: HTTP/1.1 200 OK
Content-Type: text/html; charset=utf-8
Transfer-Encoding: chunked
Cache-Control: no-cache
Pragma: no-cache
Connection: Keep-Alive
Date: Sun, 26 Aug 2018 08:43:32 GMT
X-Frame-Options: SAMEORIGIN
X-Aggregate-Auth: 1
HTTP body chunked (-2)
Server requested SSL client certificate; none was configured
POST https://[host_name]/
Got HTTP response: HTTP/1.1 200 OK
Content-Type: text/html; charset=utf-8
Transfer-Encoding: chunked
Cache-Control: no-cache
Pragma: no-cache
Connection: Keep-Alive
Date: Sun, 26 Aug 2018 08:43:32 GMT
X-Frame-Options: SAMEORIGIN
X-Aggregate-Auth: 1
HTTP body chunked (-2)
XML POST enabled

PS: W systemie Windows te same kroki działały, dodałem cert, klikając dwukrotnie, następnie uruchomiłem klienta cisco, wpisałem serwer, a potem zapytałem o hasło do serwera, który pytam - i wtedy byłem połączony.

Rocketq
źródło
Czy możesz spróbować ponownie nawiązać połączenie, skopiować dzienniki system.logi udostępnić je na dowolnym zewnętrznym serwerze udostępniania plików? Mogę spojrzeć. Sprawdź także ten wątek, jak uzyskać klucz prywatny, plik pem z pfx.
Mahesh

Odpowiedzi:

1

AnyConnect obsługuje certyfikaty klienta w formacie PEM do uwierzytelniania. Sprawdź przewodnik administratora, jak skonfigurować certyfikaty klienta dla platformy Linux. Skopiuj certyfikat klienta do folderu ~/.cisco/certificates/clienti klucz prywatny do ~/.cisco/certificates/client/private. Również -

  • Wszystkie pliki certyfikatów muszą kończyć się rozszerzeniem .pem.
  • Wszystkie pliki kluczy prywatnych muszą kończyć się rozszerzeniem .key.
  • Certyfikat klienta i odpowiadający mu klucz prywatny muszą mieć tę samą nazwę pliku. Na przykład: client.pem i client.key.
Mahesh
źródło
1
Wyodrębniłem - ten sam błąd. Taki folder musiałem utworzyć ręcznie - czy jest w porządku? Ponieważ jestem pewien, że cisco faktycznie patrzy na te foldery
Rocketq
Tak, użytkownik powinien utworzyć te foldery. Instalator ich nie utworzy.
Mahesh
0

Miałem podobny problem, chociaż nie jestem pewien, czy używam mobilnej wersji AnyConnect. Mój system operacyjny to Fedora 29. Sieć VPN, z którą próbuję się połączyć, korzysta z zaufanego certyfikatu przeglądarki, ale nie w pakiecie z zainstalowaną wersją Anyconnect.

Pakiet ca-certificateszostał już zainstalowany w moim systemie operacyjnym i dostarcza niezbędny certyfikat, więc dowiązałem /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pemdo niego /opt/.cisco/certificates/ca.

Andrzej
źródło