https://www.opennet.dev/openforum/vsluhforumID6/1269.html Добрый день.<br><br>Ситуация - решил обновить asdm и ios на своей ASA5505 (Security Plus). Залил asdm-715-100, перезапустил - все работает. Затем asa914-k8 (до этого была asa902-k8), перезагрузил. Все загрузилось, но при заходе через ASDM выдало "Certificate Validation Failure". <br>Через консоль "no http authentication-certificate inside", после этого вошел. Но не могу войти через web, второй день ковыряюсь. Понимаю что что-то с сертификатами, но не пойму что, java поставил 6-ю, все разрешил, пытался по рекомендациям добавить нового пользователя - не помогло. <br>Добавил в винду [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002]<br>"Functions"="TLS_RSA_WITH_DES_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P521,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SH https://www.opennet.dev/openforum/vsluhforumID6/1269.html#13 Sat, 15 Mar 2014 05:23:12 GMT &gt;[оверквотинг удален]<br>&gt;&gt; no logging debug-trace <br>&gt;&gt; logging console info (или logging console debug) &gt;&gt; если в консоли <br>&gt;&gt; logging monitor info (или logging monitor debug) &gt;&gt; если по телнету <br>&gt;&gt; deb http 225 <br>&gt;&gt; и попробуйте снова зайти в asdm <br>&gt; Сегодня попал на работу таки...<br>&gt; проделал <br>&gt; # deb http 225 <br>&gt; debug http enabled at level 225 <br>&gt; Ничего не изменилось <br><br> А что должно было измениться? Это дебаг http - отладочные сообщения об http. Что в них?<br> https://www.opennet.dev/openforum/vsluhforumID6/1269.html#12 Sat, 15 Mar 2014 04:45:13 GMT &gt; интересно что покажет этот дебаг при попытке зайти на гуй асы. и <br>&gt; выключите debug-trace: <br>&gt; no logging debug-trace <br>&gt; logging console info (или logging console debug) &gt;&gt; если в консоли <br>&gt; logging monitor info (или logging monitor debug) &gt;&gt; если по телнету <br>&gt; deb http 225 <br>&gt; и попробуйте снова зайти в asdm <br><br>Сегодня попал на работу таки...<br>проделал<br><br># deb http 225<br>debug http enabled at level 225<br><br>Ничего не изменилось <br> https://www.opennet.dev/openforum/vsluhforumID6/1269.html#11 Fri, 14 Mar 2014 12:51:10 GMT &gt;&gt; интересно что покажет этот дебаг при попытке зайти на гуй асы.<br>&gt; Самому интересно. Но теперь уже до понедельника. Спасибо за участие!<br><br>будем ждать)<br> https://www.opennet.dev/openforum/vsluhforumID6/1269.html#10 Fri, 14 Mar 2014 12:27:24 GMT &gt; интересно что покажет этот дебаг при попытке зайти на гуй асы.<br><br>Самому интересно. Но теперь уже до понедельника. Спасибо за участие!<br> https://www.opennet.dev/openforum/vsluhforumID6/1269.html#9 Fri, 14 Mar 2014 12:18:21 GMT &gt;[оверквотинг удален]<br>&gt; INFO: 'logging debug-trace' is enabled. All debug messages are currently being r <br>&gt; edirected to syslog:711001 and will not appear in any monitor session <br>&gt; debug asdm history enabled at level 255 <br>&gt; # sh run all ssl <br>&gt; ssl server-version any <br>&gt; ssl client-version any <br>&gt; ssl encryption rc4-md5 rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1 <br>&gt; ssl trust-point ASDM_TrustPoint1 inside <br>&gt; ssl trust-point ASDM_TrustPoint1 outside <br>&gt; ssl certificate-authentication fca-timeout 2 <br><br>интересно что покажет этот дебаг при попытке зайти на гуй асы. и выключите debug-trace:<br>no logging debug-trace<br>logging console info (или logging console debug) &gt;&gt; если в консоли<br>logging monitor info (или logging monitor debug) &gt;&gt; если по телнету<br>deb http 225<br>и попробуйте снова зайти в asdm<br> https://www.opennet.dev/openforum/vsluhforumID6/1269.html#8 Fri, 14 Mar 2014 12:10:01 GMT &gt; debug http 255?<br><br># debug http 255<br>INFO: 'logging debug-trace' is enabled. All debug messages are currently being r<br>edirected to syslog:711001 and will not appear in any monitor session<br>debug http enabled at level 255.<br><br># debug asdm history 255<br>INFO: 'logging debug-trace' is enabled. All debug messages are currently being r<br>edirected to syslog:711001 and will not appear in any monitor session<br>debug asdm history enabled at level 255<br><br># sh run all ssl<br>ssl server-version any<br>ssl client-version any<br>ssl encryption 3des-sha1 des-sha1 rc4-md5 aes128-sha1 aes256-sha1<br>ssl trust-point ASDM_TrustPoint1 inside<br>ssl trust-point ASDM_TrustPoint1 outside<br>ssl certificate-authentication fca-timeout 2<br> https://www.opennet.dev/openforum/vsluhforumID6/1269.html#7 Fri, 14 Mar 2014 11:49:33 GMT &gt;&gt; А если занулить и снова сгенерировать rsa?<br>&gt; Не хотелось бы... Других мыслей нет?<br>&gt; Почитал на разных форумах - у многих есть такая проблема после установки <br>&gt; с 8 на 9 версию. Но у меня-то не та ситуация, <br>&gt; с 901 на 914. И походу мало кто разбирался толком.<br><br>debug http 255?<br> https://www.opennet.dev/openforum/vsluhforumID6/1269.html#6 Fri, 14 Mar 2014 06:59:04 GMT &gt; А если занулить и снова сгенерировать rsa?<br><br>Не хотелось бы... Других мыслей нет?<br>Почитал на разных форумах - у многих есть такая проблема после установки с 8 на 9 версию. Но у меня-то не та ситуация, с 901 на 914. И походу мало кто разбирался толком. <br> https://www.opennet.dev/openforum/vsluhforumID6/1269.html#5 Fri, 14 Mar 2014 06:53:47 GMT &gt;[оверквотинг удален]<br>&gt; dhcpd dns 83.149.22.14 8.8.8.8 interface inside <br>&gt; dhcpd lease 1048575 interface inside <br>&gt; dhcpd enable inside <br>&gt; threat-detection basic-threat <br>&gt; threat-detection statistics access-list <br>&gt; threat-detection statistics tcp-intercept rate-interval 30 burst-rate 400 average-rate <br>&gt; 200 <br>&gt; dynamic-filter ambiguous-is-black <br>&gt; ssl trust-point ASDM_TrustPoint1 inside <br>&gt; ssl trust-point ASDM_TrustPoint1 outside <br><br>А если занулить и снова сгенерировать rsa?<br>