Fehler bei der Zertifikatsüberprüfung bei Verwendung von cisco anyconnect mit pfx-Zertifikaten

Ich habe cisco anyconnect secure mobile Client 4.2.01022 (+alle erforderlichen Pakete) installiert.

Dann hinzugefügt .pfx Zertifikate zu gnone2-key Lagerung.

Dann startete ich cisco anyconnect secure mobile Client eingegeben, wo eine Verbindung hergestellt werden soll - aber Cisco sagt mir immer wieder, dass Certificate validation failure

Versucht dies: 

sudo cp /etc/ssl/certs/Global* /opt/.cisco/certificates/ca

Link wurde erstellt, hat aber nicht geholfen. Wie zu verbinden?

UPD:

Auf diese Weise habe ich einige Zertifikate in verschiedenen Formate:

openssl pkcs12 -in store.pfx -clcerts -nokeys -out domain.cer
openssl pkcs12 -in store.pfx -nocerts -nodes  -out domain.key
openssl pkcs12 -in store.pfx -out domain.crt -nodes -nokeys -cacerts
openssl pkcs12 -in  store.pfx  -nocerts -out domain.pem -nodes

Habe 4 Dateien: 

domain.cer
domain.key
domain.crt
domain.pem

Platziert alle 4 von ihnen in 3 verschiedenen Orten: 

~/.cisco/certificates/ca ~

Vertrauenswürdige CA und Stammzertifikate

~/.cisco/certificates/client

Client-Zertifikate

~/.cisco/certificates/client/private

Private Schlüssel

Gleichen Fehler.

UPD2: Es wurde versucht, Cisco anyconnect zu konfigurieren, das mit openconnect kompatibel ist (das in Linux Network Center integriert ist): Es fragt zu setzen: 

CA certificate (it has to be domain.crt, so chosen it)
User certificate  (that is it? - didnt choose)
Private key  (I think its domain.key, so chosen it)

Aber wenn versucht zu verbinden: 

Certificate from VPN server [host ip] failed verification.
Reason: certificate does not match hostname
Do you want to accept it?

    Certificate from VPN server "194.176.96.4" failed verification.
    Reason: certificate does not match hostname
    Do you want to accept it?

With below info:
X.509 Certificate Information:
    Version: 3
    Serial Number (hex): ****
    Issuer: C=US,O=DigiCert Inc,OU=www.digicert.com,CN=GeoTrust RSA CA 2018
    Validity:
       Not Before: **
        Not After: **
    Subject: C=RU,ST=[city],L=[city],O=[company name],OU=IT,CN=vpn.[companyname].ru
    Subject Public Key Algorithm: RSA
    Algorithm Security Level: Medium (2048 bits)
....

Ich akzeptiere-und den gleichen Fehler Fehler bei der Zertifikatsüberprüfung, vollständiges Protokoll: 

POST https://[host_name]/
Attempting to connect to server [host_name]:443
SSL negotiation with [host_name]
Server certificate verify failed: certificate does not match hostname
Connected to HTTPS on [host_name]
Got HTTP response: HTTP/1.1 200 OK
Content-Type: text/html; charset=utf-8
Transfer-Encoding: chunked
Cache-Control: no-cache
Pragma: no-cache
Connection: Keep-Alive
Date: Sun, 26 Aug 2018 08:43:32 GMT
X-Frame-Options: SAMEORIGIN
X-Aggregate-Auth: 1
HTTP body chunked (-2)
Server requested SSL client certificate; none was configured
POST https://[host_name]/
Got HTTP response: HTTP/1.1 200 OK
Content-Type: text/html; charset=utf-8
Transfer-Encoding: chunked
Cache-Control: no-cache
Pragma: no-cache
Connection: Keep-Alive
Date: Sun, 26 Aug 2018 08:43:32 GMT
X-Frame-Options: SAMEORIGIN
X-Aggregate-Auth: 1
HTTP body chunked (-2)
XML POST enabled

PS: Unter Windows gleichen Schritten gearbeitet, hinzugefügt Zertifikat durch Doppelklick dann Cisco - Client gestartet, typisierte Server, dann fragte er Passwort an Server I quess-und dann war ich verbunden.

Author: Rocketq, 2018-08-25
Source

3 answers

AnyConnect unterstützt Clientzertifikate im PEM-Format zur Authentifizierung. Überprüfen Sie administrator guide zum Konfigurieren von Clientzertifikaten für die Linux-Plattform. Kopieren Sie das Clientzertifikat in den Ordner ~/.cisco/certificates/client und den privaten Schlüssel in ~/.cisco/certificates/client/private. Auch -

  • Alle Zertifikatdateien müssen mit der Erweiterung enden .pem.
  • Alle privaten Schlüsseldateien müssen mit der Erweiterung enden .Schlüssel.
  • Ein Clientzertifikat und der dazugehörige private Schlüssel müssen gleicher Dateiname. Zum Beispiel: ein Kunde.pem-und client.Schlüssel.
 2
Author: Mahesh,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2018-08-25 23:40:16

Sie können openconnect verwenden:

  • Installiere es:

sudo apt-get install network-manager-openconnect-gnome

  • Konvertieren .pfx cert-bis .pem

openssl pkcs12 -in file.pfx -out file.pem -nodes

  • In Ihrem GNOME / KDE öffnen Settings > Network menü. In den Standard-VPN-Einstellungen sollten Sie Cisco AnyConnect Compatible VPN sehen.: Netzwerkmenü
 1
Author: Dmitry Romashov,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2019-09-18 14:58:18

Ich hatte ein ähnliches Problem, obwohl ich nicht sicher bin, ob ich die mobile Version von AnyConnect verwende. Mein Betriebssystem ist Fedora 29. Das VPN, mit dem ich eine Verbindung herstellen möchte, verwendet ein vertrauenswürdiges Browser-Zertifikat, aber keines, das mit der von mir installierten Version von Anyconnect gebündelt ist.

Das Paket ca-certificates wurde bereits auf meinem Betriebssystem installiert und liefert das erforderliche Zertifikat, daher habe ich /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem mit /opt/.cisco/certificates/ca verknüpft.

 0
Author: Andrew,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2019-01-14 03:42:14