Fehler bei der Zertifikatsüberprüfung bei Verwendung von cisco anyconnect mit pfx-Zertifikaten
Ich habe cisco anyconnect secure mobile Client 4.2.01022 (+alle erforderlichen Pakete) installiert.
Dann hinzugefügt .pfx
Zertifikate zu gnone2-key
Lagerung.
Dann startete ich cisco anyconnect secure mobile Client eingegeben, wo eine Verbindung hergestellt werden soll - aber Cisco sagt mir immer wieder, dass Certificate validation failure
Versucht dies:
sudo cp /etc/ssl/certs/Global* /opt/.cisco/certificates/ca
Link wurde erstellt, hat aber nicht geholfen. Wie zu verbinden?
UPD:
Auf diese Weise habe ich einige Zertifikate in verschiedenen Formate:
openssl pkcs12 -in store.pfx -clcerts -nokeys -out domain.cer
openssl pkcs12 -in store.pfx -nocerts -nodes -out domain.key
openssl pkcs12 -in store.pfx -out domain.crt -nodes -nokeys -cacerts
openssl pkcs12 -in store.pfx -nocerts -out domain.pem -nodes
Habe 4 Dateien:
domain.cer
domain.key
domain.crt
domain.pem
Platziert alle 4 von ihnen in 3 verschiedenen Orten:
~/.cisco/certificates/ca ~
Vertrauenswürdige CA und Stammzertifikate
~/.cisco/certificates/client
Client-Zertifikate
~/.cisco/certificates/client/private
Private Schlüssel
Gleichen Fehler.
UPD2: Es wurde versucht, Cisco anyconnect zu konfigurieren, das mit openconnect kompatibel ist (das in Linux Network Center integriert ist): Es fragt zu setzen:
CA certificate (it has to be domain.crt, so chosen it)
User certificate (that is it? - didnt choose)
Private key (I think its domain.key, so chosen it)
Aber wenn versucht zu verbinden:
Certificate from VPN server [host ip] failed verification.
Reason: certificate does not match hostname
Do you want to accept it?
Certificate from VPN server "194.176.96.4" failed verification.
Reason: certificate does not match hostname
Do you want to accept it?
With below info:
X.509 Certificate Information:
Version: 3
Serial Number (hex): ****
Issuer: C=US,O=DigiCert Inc,OU=www.digicert.com,CN=GeoTrust RSA CA 2018
Validity:
Not Before: **
Not After: **
Subject: C=RU,ST=[city],L=[city],O=[company name],OU=IT,CN=vpn.[companyname].ru
Subject Public Key Algorithm: RSA
Algorithm Security Level: Medium (2048 bits)
....
Ich akzeptiere-und den gleichen Fehler Fehler bei der Zertifikatsüberprüfung, vollständiges Protokoll:
POST https://[host_name]/
Attempting to connect to server [host_name]:443
SSL negotiation with [host_name]
Server certificate verify failed: certificate does not match hostname
Connected to HTTPS on [host_name]
Got HTTP response: HTTP/1.1 200 OK
Content-Type: text/html; charset=utf-8
Transfer-Encoding: chunked
Cache-Control: no-cache
Pragma: no-cache
Connection: Keep-Alive
Date: Sun, 26 Aug 2018 08:43:32 GMT
X-Frame-Options: SAMEORIGIN
X-Aggregate-Auth: 1
HTTP body chunked (-2)
Server requested SSL client certificate; none was configured
POST https://[host_name]/
Got HTTP response: HTTP/1.1 200 OK
Content-Type: text/html; charset=utf-8
Transfer-Encoding: chunked
Cache-Control: no-cache
Pragma: no-cache
Connection: Keep-Alive
Date: Sun, 26 Aug 2018 08:43:32 GMT
X-Frame-Options: SAMEORIGIN
X-Aggregate-Auth: 1
HTTP body chunked (-2)
XML POST enabled
PS: Unter Windows gleichen Schritten gearbeitet, hinzugefügt Zertifikat durch Doppelklick dann Cisco - Client gestartet, typisierte Server, dann fragte er Passwort an Server I quess-und dann war ich verbunden.
3 answers
AnyConnect unterstützt Clientzertifikate im PEM-Format zur Authentifizierung. Überprüfen Sie administrator guide zum Konfigurieren von Clientzertifikaten für die Linux-Plattform. Kopieren Sie das Clientzertifikat in den Ordner ~/.cisco/certificates/client
und den privaten Schlüssel in ~/.cisco/certificates/client/private
. Auch -
- Alle Zertifikatdateien müssen mit der Erweiterung enden .pem.
- Alle privaten Schlüsseldateien müssen mit der Erweiterung enden .Schlüssel.
- Ein Clientzertifikat und der dazugehörige private Schlüssel müssen gleicher Dateiname. Zum Beispiel: ein Kunde.pem-und client.Schlüssel.
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2018-08-25 23:40:16
Sie können openconnect verwenden:
- Installiere es:
sudo apt-get install network-manager-openconnect-gnome
- Konvertieren
.pfx
cert-bis.pem
openssl pkcs12 -in file.pfx -out file.pem -nodes
- In Ihrem GNOME / KDE öffnen
Settings
>Network
menü. In den Standard-VPN-Einstellungen sollten SieCisco AnyConnect Compatible VPN
sehen.: Netzwerkmenü
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2019-09-18 14:58:18
Ich hatte ein ähnliches Problem, obwohl ich nicht sicher bin, ob ich die mobile Version von AnyConnect verwende. Mein Betriebssystem ist Fedora 29. Das VPN, mit dem ich eine Verbindung herstellen möchte, verwendet ein vertrauenswürdiges Browser-Zertifikat, aber keines, das mit der von mir installierten Version von Anyconnect gebündelt ist.
Das Paket ca-certificates
wurde bereits auf meinem Betriebssystem installiert und liefert das erforderliche Zertifikat, daher habe ich /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem
mit /opt/.cisco/certificates/ca
verknüpft.
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2019-01-14 03:42:14