2

Я установил безопасный мобильный клиент cisco anyconnect 4.2.01022 (+ все необходимые пакеты).

Затем добавлены сертификаты .pfx в gnone2-key .

Затем я запустил безопасный мобильный клиент cisco anyconnect, в котором указывалось, куда подключаться, но cisco все время говорил мне, что Certificate validation failure

Пробовал это:

sudo cp /etc/ssl/certs/Global* /opt/.cisco/certificates/ca

ссылка была создана, но не помогла. Как подключиться?

UPD:

Таким образом, я извлек некоторые сертификаты в разных форматах:

openssl pkcs12 -in store.pfx -clcerts -nokeys -out domain.cer
openssl pkcs12 -in store.pfx -nocerts -nodes  -out domain.key
openssl pkcs12 -in store.pfx -out domain.crt -nodes -nokeys -cacerts
openssl pkcs12 -in  store.pfx  -nocerts -out domain.pem -nodes

Получил 4 файла:

domain.cer
domain.key
domain.crt
domain.pem

Разместил все 4 из них в 3 разных местах:

~/.cisco/certificates/ca ~

Доверенный ЦС и корневые сертификаты

~/.cisco/certificates/client

Клиентские сертификаты

~/.cisco/certificates/client/private

Закрытые ключи

Та же ошибка

UPD2: попытался настроить cisco anyconnect, совместимый с openconnect (который интегрирован в сетевой центр linux): он просит установить: 

CA certificate (it has to be domain.crt, so chosen it)
User certificate  (that is it? - didnt choose)
Private key  (I think its domain.key, so chosen it)

Но если пытается подключиться:

Certificate from VPN server [host ip] failed verification.
Reason: certificate does not match hostname
Do you want to accept it?

    Certificate from VPN server "194.176.96.4" failed verification.
    Reason: certificate does not match hostname
    Do you want to accept it?

With below info:
X.509 Certificate Information:
    Version: 3
    Serial Number (hex): ****
    Issuer: C=US,O=DigiCert Inc,OU=www.digicert.com,CN=GeoTrust RSA CA 2018
    Validity:
       Not Before: **
        Not After: **
    Subject: C=RU,ST=[city],L=[city],O=[company name],OU=IT,CN=vpn.[companyname].ru
    Subject Public Key Algorithm: RSA
    Algorithm Security Level: Medium (2048 bits)
....

Я принимаю - и та же ошибка Ошибка проверки сертификата, полный журнал:

POST https://[host_name]/
Attempting to connect to server [host_name]:443
SSL negotiation with [host_name]
Server certificate verify failed: certificate does not match hostname
Connected to HTTPS on [host_name]
Got HTTP response: HTTP/1.1 200 OK
Content-Type: text/html; charset=utf-8
Transfer-Encoding: chunked
Cache-Control: no-cache
Pragma: no-cache
Connection: Keep-Alive
Date: Sun, 26 Aug 2018 08:43:32 GMT
X-Frame-Options: SAMEORIGIN
X-Aggregate-Auth: 1
HTTP body chunked (-2)
Server requested SSL client certificate; none was configured
POST https://[host_name]/
Got HTTP response: HTTP/1.1 200 OK
Content-Type: text/html; charset=utf-8
Transfer-Encoding: chunked
Cache-Control: no-cache
Pragma: no-cache
Connection: Keep-Alive
Date: Sun, 26 Aug 2018 08:43:32 GMT
X-Frame-Options: SAMEORIGIN
X-Aggregate-Auth: 1
HTTP body chunked (-2)
XML POST enabled

PS: В Windows те же самые шаги работали, добавили сертификат двойным щелчком мыши, затем запустили клиент cisco, набрали сервер, затем он попросил пароль для сервера, который я запрашиваю - и затем я был подключен.

|источник

2 ответа2

1

AnyConnect поддерживает клиентские сертификаты формата PEM для аутентификации. Ознакомьтесь с руководством администратора о том, как настроить клиентские сертификаты для платформы Linux. Скопируйте сертификат клиента в папку ~/.cisco/certificates/client и закрытый ключ в ~/.cisco/certificates/client/private . Также -

  • Все файлы сертификатов должны заканчиваться расширением .pem.
  • Все файлы закрытых ключей должны заканчиваться расширением .key.
  • Сертификат клиента и соответствующий ему закрытый ключ должны иметь одинаковое имя файла. Например: client.pem и client.key.
|источник
0

У меня была похожая проблема, хотя я не уверен, что использую мобильную версию AnyConnect. Моя ОС - Fedora 29. VPN, к которой я пытаюсь подключиться, использует доверенный сертификат браузера, но не тот, который связан с версией Anyconnect, которую я установил.

Пакет ca-certificates уже был установлен в моей ОС и поставляется с необходимым сертификатом, поэтому я поставил символическую ссылку /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem в /opt/.cisco/certificates/ca .

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .