Ошибка проверки сертификата при использовании cisco anyconnect с сертификатами pfx

9342
Rocketq

Я установил безопасный мобильный клиент cisco anyconnect 4.2.01022 (+ все необходимые пакеты).

Затем добавлены .pfxсертификаты в gnone2-keyхранилище.

Затем я запустил безопасный мобильный клиент cisco anyconnect, набирающий, где подключаться, - но cisco постоянно говорит мне, что Certificate validation failure

Пробовал это:

sudo cp /etc/ssl/certs/Global* /opt/.cisco/certificates/ca 

ссылка была создана, но не помогла. Как подключиться?

UPD:

Таким образом, я извлек некоторые сертификаты в разных форматах:

openssl pkcs12 -in store.pfx -clcerts -nokeys -out domain.cer openssl pkcs12 -in store.pfx -nocerts -nodes -out domain.key openssl pkcs12 -in store.pfx -out domain.crt -nodes -nokeys -cacerts openssl pkcs12 -in store.pfx -nocerts -out domain.pem -nodes 

Получил 4 файла:

domain.cer domain.key domain.crt domain.pem 

Разместил все 4 из них в 3 разных местах:

~/.cisco/certificates/ca ~ 

Доверенный ЦС и корневые сертификаты

~/.cisco/certificates/client 

Клиентские сертификаты

~/.cisco/certificates/client/private 

Закрытые ключи

Та же ошибка

UPD2: попытался настроить cisco anyconnect, совместимый с openconnect (который интегрирован в сетевой центр linux): он просит установить:

CA certificate (it has to be domain.crt, so chosen it) User certificate (that is it? - didnt choose) Private key (I think its domain.key, so chosen it) 

Но если пытается подключиться:

Certificate from VPN server [host ip] failed verification. Reason: certificate does not match hostname Do you want to accept it?  Certificate from VPN server "194.176.96.4" failed verification. Reason: certificate does not match hostname Do you want to accept it?  With below info: X.509 Certificate Information: Version: 3 Serial Number (hex): **** Issuer: C=US,O=DigiCert Inc,OU=www.digicert.com,CN=GeoTrust RSA CA 2018 Validity: Not Before: ** Not After: ** Subject: C=RU,ST=[city],L=[city],O=[company name],OU=IT,CN=vpn.[companyname].ru Subject Public Key Algorithm: RSA Algorithm Security Level: Medium (2048 bits) .... 

Я принимаю - и та же ошибка Ошибка проверки сертификата, полный журнал:

POST https://[host_name]/ Attempting to connect to server [host_name]:443 SSL negotiation with [host_name] Server certificate verify failed: certificate does not match hostname Connected to HTTPS on [host_name] Got HTTP response: HTTP/1.1 200 OK Content-Type: text/html; charset=utf-8 Transfer-Encoding: chunked Cache-Control: no-cache Pragma: no-cache Connection: Keep-Alive Date: Sun, 26 Aug 2018 08:43:32 GMT X-Frame-Options: SAMEORIGIN X-Aggregate-Auth: 1 HTTP body chunked (-2) Server requested SSL client certificate; none was configured POST https://[host_name]/ Got HTTP response: HTTP/1.1 200 OK Content-Type: text/html; charset=utf-8 Transfer-Encoding: chunked Cache-Control: no-cache Pragma: no-cache Connection: Keep-Alive Date: Sun, 26 Aug 2018 08:43:32 GMT X-Frame-Options: SAMEORIGIN X-Aggregate-Auth: 1 HTTP body chunked (-2) XML POST enabled 

PS: В Windows те же самые шаги сработали, добавили сертификат двойным щелчком, затем запустили клиент cisco, набрали сервер, затем он попросил пароль для сервера, который я запрашиваю - и затем я был подключен.

1
Можете ли вы попробовать снова подключиться, скопировать журналы из `system.log` и поделиться им на любом внешнем сервере обмена файлами? Я могу взглянуть. Также [проверьте эту ветку] (https://stackoverflow.com/questions/15413646/converting-pfx-to-pem-using-openssl) о том, как получить закрытый ключ, файл pem из pfx. Mahesh 5 лет назад 0

1 ответ на вопрос

2
Mahesh

AnyConnect поддерживает клиентские сертификаты формата PEM для аутентификации. Ознакомьтесь с руководством администратора о том, как настроить клиентские сертификаты для платформы Linux. Скопируйте сертификат клиента в папку ~/.cisco/certificates/clientи закрытый ключ в ~/.cisco/certificates/client/private. Также -

  • Все файлы сертификатов должны заканчиваться расширением .pem.
  • Все файлы закрытых ключей должны заканчиваться расширением .key.
  • Сертификат клиента и соответствующий ему закрытый ключ должны иметь одинаковое имя файла. Например: client.pem и client.key.
Я извлек - та же ошибка. Такую папку мне пришлось создавать вручную - это нормально? Потому что я уверен, что Cisco на самом деле смотрят на эти папки Rocketq 5 лет назад 0
Да, пользователь должен создавать эти папки. Установщик не будет создавать эти. Mahesh 5 лет назад 0

Похожие вопросы