Falha na validação de certificado ao usar o cisco anyconnect com certificados pfx

Navegue suas respostas
1

Instalei o cliente móvel seguro cisco anyconnect 4.2.01022 (+ todos os pacotes requeridos).

Em seguida, adicionamos .pfx certificados a gnone2-key storage.

Então eu lancei o cliente móvel seguro cisco anyconnect digitado onde se conectar - mas cisco continua me dizendo que Certificate validation failure

Tentei isto: 

sudo cp /etc/ssl/certs/Global* /opt/.cisco/certificates/ca
O

link foi criado, mas não ajudou. Como se conectar?

UPD:

Desta forma, extraímos alguns certificados em diferentes formatos: 

openssl pkcs12 -in store.pfx -clcerts -nokeys -out domain.cer
openssl pkcs12 -in store.pfx -nocerts -nodes  -out domain.key
openssl pkcs12 -in store.pfx -out domain.crt -nodes -nokeys -cacerts
openssl pkcs12 -in  store.pfx  -nocerts -out domain.pem -nodes

Tem 4 arquivos: 

domain.cer
domain.key
domain.crt
domain.pem

Coloque todos os 4 deles em 3 lugares diferentes: 

~/.cisco/certificates/ca ~

Certificados confiáveis de CA e raiz 

~/.cisco/certificates/client

Certificados do cliente 

~/.cisco/certificates/client/private

Chaves privadas

Mesmo erro.

UPD2: Tentei configurar cisco anyconnect compatível com openconnect (que integrado ao centro de rede linux): Ele pede para definir: 

CA certificate (it has to be domain.crt, so chosen it)
User certificate  (that is it? - didnt choose)
Private key  (I think its domain.key, so chosen it)

Mas se tentar se conectar: 

Certificate from VPN server [host ip] failed verification.
Reason: certificate does not match hostname
Do you want to accept it?

    Certificate from VPN server "194.176.96.4" failed verification.
    Reason: certificate does not match hostname
    Do you want to accept it?

With below info:
X.509 Certificate Information:
    Version: 3
    Serial Number (hex): ****
    Issuer: C=US,O=DigiCert Inc,OU=www.digicert.com,CN=GeoTrust RSA CA 2018
    Validity:
       Not Before: **
        Not After: **
    Subject: C=RU,ST=[city],L=[city],O=[company name],OU=IT,CN=vpn.[companyname].ru
    Subject Public Key Algorithm: RSA
    Algorithm Security Level: Medium (2048 bits)
....

Aceito - e o mesmo erro Falha na validação do certificado, log completo: 

POST https://[host_name]/
Attempting to connect to server [host_name]:443
SSL negotiation with [host_name]
Server certificate verify failed: certificate does not match hostname
Connected to HTTPS on [host_name]
Got HTTP response: HTTP/1.1 200 OK
Content-Type: text/html; charset=utf-8
Transfer-Encoding: chunked
Cache-Control: no-cache
Pragma: no-cache
Connection: Keep-Alive
Date: Sun, 26 Aug 2018 08:43:32 GMT
X-Frame-Options: SAMEORIGIN
X-Aggregate-Auth: 1
HTTP body chunked (-2)
Server requested SSL client certificate; none was configured
POST https://[host_name]/
Got HTTP response: HTTP/1.1 200 OK
Content-Type: text/html; charset=utf-8
Transfer-Encoding: chunked
Cache-Control: no-cache
Pragma: no-cache
Connection: Keep-Alive
Date: Sun, 26 Aug 2018 08:43:32 GMT
X-Frame-Options: SAMEORIGIN
X-Aggregate-Auth: 1
HTTP body chunked (-2)
XML POST enabled

PS: No Windows, os mesmos passos funcionaram, adicionou o cert clicando duas vezes no cliente cisco, digitou o servidor, então ele perguntou a senha para o servidor I quess - e então eu estava conectado.

    
por Rocketq 25.08.2018 / 09:20

1 resposta

1

AnyConnect suporta certificados de cliente no formato PEM para autenticação. Verifique guia do administrador sobre como configurar certificados de cliente para a plataforma Linux. Copie o certificado de cliente para a pasta ~/.cisco/certificates/client e a chave privada para ~/.cisco/certificates/client/private . Também -

  • Todos os arquivos de certificado devem terminar com a extensão .pem.
  • Todos os arquivos de chave privada devem terminar com a extensão .key.
  • Um certificado de cliente e sua chave privada correspondente devem ter o mesmo nome de arquivo. Por exemplo: client.pem e client.key.
por 26.08.2018 / 01:34

Tags

disco rígido de teste SMART Executando o comando bat em determinado tipo de arquivo