Como instalar corretamente o certificado emitido para mim?

Question

Como instalar corretamente o certificado emitido para mim?

#1 resposta do (5 votos)

4

Eu tentei várias maneiras de instalar o certificado, mas parece que ele não está sendo visto pelo linux ou algo está errado.

Eu tenho .pfx para poder se conectar a outro servidor via vpn (preciso usar o Cisco AnyConnect). Eu tentei convertê-lo em .pem e, em seguida, adicionei esse arquivo em /usr/share/ca-certs (com a criação de um novo diretório lá ou simplesmente colocando-o diretamente) e, em seguida, executei 'update-ca-certificates'. Eu sempre recebo essa resposta:

Updating certificates in /etc/ssl/certs... 0 added, 0 removed; done.
Running hooks in /etc/ca-certificates/update.d....

Em seguida, tentando se conectar usando o Cisco AnyConnect, isso me daria esse erro: 'Certificate validation error

A única maneira que eu consegui importar o certificado, foi via firefox. Eu importei em Your Certificates .

Então, novamente tentando se conectar usando o Cisco AnyConnect, isso me daria esse erro:

The AnyConnect package on the secure gateway could not be located. You may be experiencing network connectivity issues. Please try connecting again.

Então eu abri o certificado importado no Firefox e vi esta mensagem:

could not verify this certificate because the issuer is not trusted .

Então, indo em autoridades, encontrei o que me emitiu este certificado e editado para ser confiável, assinalando todas as opções. Agora, ele mostra que foi verificado para o certificado de cliente SSL, certificado de assinante de email, Autoridade de certificação SSL, Certificado de respondente de status.

Mas ainda assim, tentando se conectar usando cisco anyconnect, me dá esse erro por não localizar o gateway seguro.

Eu não tenho nenhuma ideia do que mais eu poderia fazer para resolver este problema.

Eu também escrevi outra questão relacionada aqui. Aquele é mais sobre configurar corretamente o vpn e este sobre a instalação apropriada do certificado.

Link para a questão relacionada: link

P.S. Estou usando o Ubuntu 14.04

firefox ssl vpn certificate cisco-vpn-client

por Andrius 19.06.2014 / 10:02

1 resposta

Tags firefox ssl vpn certificate cisco-vpn-client

Sincronização de BitTorrent - Excluir todas as subpastas específicas Como você digita kanji antigo ou incomum no IME japonês do Microsoft Windows 8?

score 5 · Answer 1

O erro aparentemente enganoso The AnyConnect package on the secure gateway could not be located... significa que o AnyConnect usa de fato o certificado, que você queria que ele usasse.

Se o seu objetivo é fazer com que a conexão VPN funcione como esperado, isso não é um problema com a instalação adequada do seu certificado para AnyConnect usar.

Como fazer a conexão VPN realmente funcionar neste caso está abaixo da resposta à sua pergunta inicial.

A resposta para sua pergunta:

O AnyConnect verifica vários locais para arquivos de certificado, incluindo aqueles usados pelos navegadores da Web.

O que complica a questão é que existem diferentes tipos de arquivos de certificado a serem verificados, e todos devem entrar em diretórios dedicados ao seu tipo para que o AnyConnect os veja.

Para instalar manualmente o certificado em um local onde o AnyConnect espera encontrá-lo

no seu caso, faça o seguinte:

openssl pkcs12 -in source.pfx -out exported.pem -nokeys
openssl pkcs12 -in source.pfx -out exported.key -nocerts

Use o mesmo nome para os arquivos .pem e .key .

Ele solicitará a passagem do arquivo .pfx para obter os arquivos .pem e .key .

Ele pedirá que você configure um passe para o arquivo .key . Deve haver um prompt de repetição de passagem e nenhum erro. AnyConnect pedirá este passe depois de pressionar o botão connect, mas antes de mostrar os campos login / pass para autenticação de conexão.

No diretório inicial do usuário ou em /opt , crie esses diretórios:

.cisco/certificates/client
.cisco/certificates/client/private

Você precisa criá-los manualmente. O instalador do AnyConnect cria apenas o diretório /opt/.cisco/certificates/ca .

Coloque o arquivo .pem no primeiro diretório criado manualmente e o arquivo .key no segundo.

Agora AnyConnect deve poder usá-los como esperado, desde que todos os diretórios e arquivos tenham direitos de acesso corretos.

Esses dirs são mencionados em algum lugar na documentação da Cisco ( Crie um armazenamento de certificados PEM para Mac e Linux ).

Não fique surpreso ao ver o mesmo erro The AnyConnect package on the secure gateway could not be located... . Leia abaixo.

Como fazer com que a conexão VPN realmente funcione da maneira que você quer:

No meu caso, usando apenas o OpenConnect com os mesmos arquivos de chave que funcionou até agora:

Crie os arquivos .pem e .key conforme descrito acima,

siga os passos 4º e 5º de este site

quais são:

apt-get install network-manager-openconnect-gnome

open Netwok Connections, go to VPN tab, click new

select Cisco AnyConnect Compatible VPN (openconnect)

Gateway: [vpn.yourcompany.com]

User Certificate: [select your exported.pem]

Private key: [select your exported.key]

e agora tente conectar-se

(através do applet de conexão de rede visível ao lado do relógio na tela deve funcionar muito bem)

funcionou para mim no xubuntu 14.04

Por que o AnyConnnect não funciona, mas o OpenConnect funciona?

de /var/log/syslog descobri que o AnyConnect tenta fazer o download de algo do servidor no outro lado, mas recebe 404 error várias vezes e, portanto, falha:

(...) acvpnui (...) Description: CTRANSPORT_ERROR_HTTP_RETURNED_ERROR:The HTTP server returned an error code (>= 400) HTTP status code received 404

Esta mensagem de erro significa que AnyConnect tenta obter algo do servidor no outro lado, após ter autenticado com sucesso , e desconecta porque o arquivo (aparentemente necessário para que funcione) não está disponível.

Parece que o OpenConnect não precisa deste arquivo.