URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 22901
[ Назад ]

Исходное сообщение
"AnyConnect на Cisco 1841 - certificate is invalid"

Отправлено iGLaX6 , 20-Июл-11 03:03 
Коллеги,

после установки AnyConnect на Cisco 1841 перестал соединятся с SSL-VPN - на старом sslclient всё работало.

Пишет ошибку -  The certificate on the secure gateway is invalid. A VPN connection will not be established.

Конфиг вот
crypto pki trustpoint local
enrollment selfsigned
serial-number
ip-address XXX.XXX.XXX.XXX
subject-name cn=rrr.rs
revocation-check crl
rsakeypair my_key 1024 1024
!
!
crypto pki certificate chain local
certificate self-signed 02
  308202AE 30820217 A0030201 02020102 300D0609 2A864886 F70D0101 04050030
  67311830 16060355 0403130F 636C6965 6E742E6F 696C7063 2E727531 4B301206
  03550405 130B4643 5A303933 3732334A 35301706 092A8648 86F70D01 0902160A
  74706B5F 73686162 3233301C 06092A86 4886F70D 01090813 0F323132 2E313030
  2E313531 2E313739 301E170D 31313037 31393233 30303237 5A170D32 30303130
  31303030 3030305A 30673118 30160603 55040313 0F636C69 656E742E 6F696C70
  632E7275 314B3012 06035504 05130B46 435A3039 33373233 4A353017 06092A86
  4886F70D 01090216 0A74706B 5F736861 62323330 1C06092A 864886F7 0D010908
  130F3231 322E3130 302E3135 312E3137 3930819F 300D0609 2A864886 F70D0101
  01050003 818D0030 81890281 8100D4B7 DFF12B98 F13241B3 9BACD2B4 BBB48C06
  592B31F8 2189E203 1D67341F 1D4B9C37 D55B8443 AC5E8890 D5C3C718 CB13CA86
  98389C37 17C53051 10989FDB C03A16A6 C5648906 80D62700 490A5163 2B74BD7A
  C8CD6628 2104192D 82A2D988 C3BD27A6 61C27299 6A77B2EA A228E363 764CEF62
  63D4FC29 CFA0EB00 D5B43E76 FF110203 010001A3 6A306830 0F060355 1D130101
  FF040530 030101FF 30150603 551D1104 0E300C82 0A74706B 5F736861 62323330
  1F060355 1D230418 30168014 53E18CBB 3E21F017 37F9EF6A 16E94554 F364C1A6
  301D0603 551D0E04 16041453 E18CBB3E 21F01737 F9EF6A16 E94554F3 64C1A630
  0D06092A 864886F7 0D010104 05000381 81009CC9 8B7DD2CC BC9E0FBD D2003007
  06A9BCD5 42EF9B07 2141F32B 8D289C8E 042721DC F6091828 35686999 F725106F
  5F7C19E2 5B7A45F7 7A642287 1A6FA6C1 C25B0CA0 95016222 4C4459A5 CCCC8A01
  D02B5148 026295A6 2A272256 7A1EF211 9771E0B8 94BE7956 8C19D147 C0F6AA13
  73033B33 85600F59 9CF2E04C 559EC09F 137F
        quit

ip local pool new 192.168.10.1 192.168.10.10


webvpn gateway gateway_1
ip address XXX.XXX.XXX.XXX port 443
ssl trustpoint local
inservice
!
webvpn install svc flash:/webvpn/svc_1.pkg sequence 1
!
webvpn context sales
secondary-color white
title-color #CCCC66
text-color black
ssl authenticate verify all
!
!
policy group policy_1
   functions svc-required
   svc address-pool "new"
   svc dns-server primary 8.8.8.8
default-group-policy policy_1
gateway gateway_1
max-users 10
inservice
!
end

Уже как только не пробовал генерить сертификат. Ничего не помогает. Прошу помочь. Спасибо!


Содержание

Сообщения в этом обсуждении
"AnyConnect на Cisco 1841 - certificate is invalid"
Отправлено Aleks305 , 20-Июл-11 12:39 
>[оверквотинг удален]
>    svc address-pool "new"
>    svc dns-server primary 8.8.8.8
>  default-group-policy policy_1
>  gateway gateway_1
>  max-users 10
>  inservice
> !
> end
> Уже как только не пробовал генерить сертификат. Ничего не помогает. Прошу помочь.
> Спасибо!

попробуйте от стороннего УЦ получить серт, время выставить правильно, добавить на клиенте серт роутера в список доверенных корневых УЦ


"AnyConnect на Cisco 1841 - certificate is invalid"
Отправлено dpride , 20-Июл-11 14:32 
>[оверквотинг удален]
>    svc address-pool "new"
>    svc dns-server primary 8.8.8.8
>  default-group-policy policy_1
>  gateway gateway_1
>  max-users 10
>  inservice
> !
> end
> Уже как только не пробовал генерить сертификат. Ничего не помогает. Прошу помочь.
> Спасибо!

Даю свой вариант, хотя не уверен в правильности. Убивай сертификат и trustpoint, сохраняй конфиг и перезагружай циску. Генери новый сертификат, как по инструкции (http://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/gu...), не вводя всяких дополнительных значений (на использование серийного номера соглашайся), жди пока он появиться, у тебя проблема с его окончательным проявлением (как сказать это грамотно, я не знаю). Как тольковсе появиться прописывай трастпоинт в конфигурации webvpn.


"AnyConnect на Cisco 1841 - certificate is invalid"
Отправлено iGLaX6 , 20-Июл-11 16:55 
>[оверквотинг удален]
>> end
>> Уже как только не пробовал генерить сертификат. Ничего не помогает. Прошу помочь.
>> Спасибо!
> Даю свой вариант, хотя не уверен в правильности. Убивай сертификат и trustpoint,
> сохраняй конфиг и перезагружай циску. Генери новый сертификат, как по инструкции
> (http://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/gu...),
> не вводя всяких дополнительных значений (на использование серийного номера соглашайся),
> жди пока он появиться, у тебя проблема с его окончательным проявлением
> (как сказать это грамотно, я не знаю). Как тольковсе появиться прописывай
> трастпоинт в конфигурации webvpn.

Такой вариант тоже пробовал. Не помогло!
Помогло следующее - я просто поставил AnyConnect 2.3. С версиями 2.4 и 2.5 вообще самоподписанные сертификаты не ест. Спасибо еще раз.


"AnyConnect на Cisco 1841 - certificate is invalid"
Отправлено dpride , 20-Июл-11 19:42 
>[оверквотинг удален]
>> Даю свой вариант, хотя не уверен в правильности. Убивай сертификат и trustpoint,
>> сохраняй конфиг и перезагружай циску. Генери новый сертификат, как по инструкции
>> (http://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/gu...),
>> не вводя всяких дополнительных значений (на использование серийного номера соглашайся),
>> жди пока он появиться, у тебя проблема с его окончательным проявлением
>> (как сказать это грамотно, я не знаю). Как тольковсе появиться прописывай
>> трастпоинт в конфигурации webvpn.
> Такой вариант тоже пробовал. Не помогло!
> Помогло следующее - я просто поставил AnyConnect 2.3. С версиями 2.4 и
> 2.5 вообще самоподписанные сертификаты не ест. Спасибо еще раз.

Не за что. Чего-то я сегодня торможу :-) В FAQ по AnyConnect https://supportforums.cisco.com/docs/DOC-1361 указанно, что до определенной версии ИОС версия 2.4 не работает с самоподписанными сертификатами, так же не отрабатывает подключение клиента на прямую к устройству, а только через веб-интерфейс. Так что если надо эти функции обновляйте ИОС