Новые ответы

Cisco ASA 5505 + ASDM 'Certificate Validation Failure',

Michail_M, 13-Мрт-14, 13:46 [смотреть все]

Добрый день.
Ситуация -  решил обновить asdm и ios на своей ASA5505 (Security Plus). Залил asdm-715-100, перезапустил - все работает. Затем asa914-k8 (до этого была asa902-k8), перезагрузил. Все загрузилось, но при заходе через ASDM выдало "Certificate Validation Failure".
Через консоль "no http authentication-certificate inside", после этого вошел. Но не могу войти через web, второй день ковыряюсь. Понимаю что что-то с сертификатами, но не пойму что, java поставил 6-ю, все разрешил, пытался по рекомендациям добавить нового пользователя - не помогло.
Добавил в винду [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002]
"Functions"="TLS_RSA_WITH_DES_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P521,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P521,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA,TLS_RSA_WITH_RC4_128_MD5,SSL_CK_RC4_128_WITH_MD5,SSL_CK_DES_192_EDE3_CBC_WITH_MD5,TLS_RSA_WITH_NULL_MD5,TLS_RSA_WITH_NULL_SHA", - тоже не помогает.

Куда копать?
CSSIasa# sh ver
Cisco Adaptive Security Appliance Software Version 9.1(4)
Device Manager Version 7.1(5)100
Compiled on Thu 05-Dec-13 19:37 by builders
System image file is "disk0:/asa914-k8.bin"
Config file at boot was "startup-config"
CSSIasa up 23 hours 59 mins
Hardware:   ASA5505, 512 MB RAM, CPU Geode 500 MHz,
Internal ATA Compact Flash, 128MB
BIOS Flash M50FW016 @ 0xfff00000, 2048KB
Encryption hardware device : Cisco ASA-5505 on-board accelerator (revision 0x0)
                             Boot microcode        : CN1000-MC-BOOT-2.00
                             SSL/IKE microcode     : CNLite-MC-SSLm-PLUS-2_05
                             IPSec microcode       : CNlite-MC-IPSECm-MAIN-2.09
                             Number of accelerators: 1
0: Int: Internal-Data0/0    : address is e8b7.4862.4c44, irq 11
1: Ext: Ethernet0/0         : address is e8b7.4862.4c3c, irq 255
2: Ext: Ethernet0/1         : address is e8b7.4862.4c3d, irq 255
3: Ext: Ethernet0/2         : address is e8b7.4862.4c3e, irq 255
4: Ext: Ethernet0/3         : address is e8b7.4862.4c3f, irq 255
5: Ext: Ethernet0/4         : address is e8b7.4862.4c40, irq 255
6: Ext: Ethernet0/5         : address is e8b7.4862.4c41, irq 255
7: Ext: Ethernet0/6         : address is e8b7.4862.4c42, irq 255
8: Ext: Ethernet0/7         : address is e8b7.4862.4c43, irq 255
9: Int: Internal-Data0/1    : address is 0000.0003.0002, irq 255
10: Int: Not used            : irq 255
11: Int: Not used            : irq 255
Licensed features for this platform:
Maximum Physical Interfaces       : 8              perpetual
VLANs                             : 20             DMZ Unrestricted
Dual ISPs                         : Enabled        perpetual
VLAN Trunk Ports                  : 8              perpetual
Inside Hosts                      : Unlimited      perpetual
Failover                          : Active/Standby perpetual
Encryption-DES                    : Enabled        perpetual
Encryption-3DES-AES               : Enabled        perpetual
AnyConnect Premium Peers          : 25             perpetual
AnyConnect Essentials             : 25             perpetual
Other VPN Peers                   : 25             perpetual
Total VPN Peers                   : 25             perpetual
Shared License                    : Enabled        perpetual
AnyConnect for Mobile             : Enabled        perpetual
AnyConnect for Cisco VPN Phone    : Enabled        perpetual
Advanced Endpoint Assessment      : Enabled        perpetual
UC Phone Proxy Sessions           : 24             perpetual
Total UC Proxy Sessions           : 24             perpetual
Botnet Traffic Filter             : Enabled        perpetual
Intercompany Media Engine         : Disabled       perpetual
Cluster                           : Disabled       perpetual
This platform has an ASA 5505 Security Plus license.
Configuration register is 0x1
Configuration last modified by michail at 13:16:22.378 AQTST Thu Mar 13 2014

Ответить | Сообщить модератору

Cisco ASA 5505 + ASDM 'Certificate Validation Failure', jabbson, 16:38 , 13-Мрт-14 (1)
>[оверквотинг удален]
>  perpetual
> Intercompany Media Engine         :
> Disabled       perpetual
> Cluster
>
>     : Disabled
>  perpetual
> This platform has an ASA 5505 Security Plus license.
> Configuration register is 0x1
> Configuration last modified by michail at 13:16:22.378 AQTST Thu Mar 13 2014
show ssl
show run | i aaa
show run | i http
Ответить | Сообщить модератору

Cisco ASA 5505 + ASDM 'Certificate Validation Failure', Michail_M, 08:48 , 14-Мрт-14 (2)
> show ssl
> show run | i aaa
> show run | i http
# sh ssl
Accept connections using SSLv2, SSLv3 or TLSv1 and negotiate to SSLv3 or TLSv1
Start connections using SSLv3 and negotiate to SSLv3 or TLSv1
Enabled cipher order: aes256-sha1 aes128-sha1 3des-sha1
Disabled ciphers: des-sha1 rc4-md5 rc4-sha1 dhe-aes128-sha1 dhe-aes256-sha1 null
-sha1
SSL trust-points:
  inside interface: ASDM_TrustPoint1
  outside interface: ASDM_TrustPoint1
Certificate authentication is not enabled
# show run   | i aaa
aaa authentication serial console LOCAL
aaa authentication ssh console LOCAL
aaa authentication telnet console LOCAL
aaa authorization command LOCAL
    706555fe 2181c948 39e7029f ce1aaafd a02f86fe b7080ce4 4d52bec2 f9708918

show run   | i http
service tcp source range 1 65535 destination eq https
service-object tcp destination eq https
port-object eq https
access-list inside3_access_in extended permit tcp any4 any4 eq https
access-list inside_access_in extended permit tcp any4 any4 eq https
access-list inside2_access_in extended permit tcp any4 any4 eq https
http server enable
http inside 255.255.255.0 inside
http 192.168.0.0 255.255.0.0 inside
  inspect http
  inspect http
  inspect http
  inspect http
policy-map type inspect http HTTP
  inspect http
  destination address http https://tools.cisco.com/its/service/oddce/services/DD
CEService
  destination transport-method http
Ответить | Сообщить модератору

Cisco ASA 5505 + ASDM 'Certificate Validation Failure', jabbson, 09:51 , 14-Мрт-14 (3)
>[оверквотинг удален]
> http 192.168.0.0 255.255.0.0 inside
> policy-map type inspect http HTTP
> destination transport-method http
Попробуйте ввести в консоли:
ssl encryption rc4-md5 rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1
после этого перезайти в гуй
если все останется как и было нерабочим, еще попробуйте аутентификацию явно описать в ааа
aaa authentication http console LOCAL
Ответить | Сообщить модератору

Cisco ASA 5505 + ASDM 'Certificate Validation Failure', Michail_M, 10:22 , 14-Мрт-14 (4)
> Попробуйте ввести в консоли:
> ssl encryption rc4-md5 rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1
> после этого перезайти в гуй
> если все останется как и было нерабочим, еще попробуйте аутентификацию явно описать
> в ааа
> aaa authentication http console LOCAL
Попробовал. Не помогло.
#sh conf
!
ASA Version 9.1(4)
!
hostname Casa
enable password aqjzvvoiREj/BYK4 encrypted
xlate per-session deny tcp any4 any4
xlate per-session deny tcp any4 any6
xlate per-session deny tcp any6 any4
xlate per-session deny tcp any6 any6
xlate per-session deny udp any4 any4 eq domain
xlate per-session deny udp any4 any6 eq domain
xlate per-session deny udp any6 any4 eq domain
xlate per-session deny udp any6 any6 eq domain
passwd 2KFQnbNIdI.2KYOU encrypted
names
name 192.168.12.0 inside
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
switchport access vlan 12
!
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.12.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 10.58.104.162 255.255.255.252
!
boot system disk0:/asa914-k8.bin
ftp mode passive
clock timezone AQTST 4
clock summer-time AQTDT recurring last Sun Mar 0:00 last Sun Oct 0:00
dns domain-lookup outside
dns server-group DefaultDNS
name-server 83.149.22.14
name-server 8.8.8.8
name-server 83.149.16.129
mtu inside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-715-100.bin
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
nat (inside,outside) source dynamic any interface
nat (inside,outside) source static any any destination static NETWORK_OBJ_192.168.12.248_29 NETWORK_OBJ_192.168.12.248_29 no-proxy-arp route-lookup
access-group inside_access_in in interface inside
access-group global_access global
route outside 0.0.0.0 0.0.0.0 10.58.104.161 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
aaa authentication serial console LOCAL
aaa authentication ssh console LOCAL
aaa authentication telnet console LOCAL
aaa authentication http console LOCAL
aaa authorization command LOCAL
http server enable
http inside 255.255.255.0 inside
http 192.168.0.0 255.255.0.0 inside
no snmp-server location
no snmp-server contact
crypto ipsec ikev2 ipsec-proposal DES
protocol esp encryption des
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal 3DES
protocol esp encryption 3des
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal AES
protocol esp encryption aes
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal AES192
protocol esp encryption aes-192
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal AES256
protocol esp encryption aes-256
protocol esp integrity sha-1 md5
crypto ca trustpoint ASDM_TrustPoint1
enrollment self
subject-name CN=Casa
crl configure
crypto ca certificate chain ASDM_TrustPoint1
certificate 4e0e9351
    308201cb 30820134 a0030201 0202044e 0e935130 0d06092a 864886f7 0d010105
    0500302a 3110300e 06035504 03130743 53534961 73613116 30140609 2a864886
    f70d0109 02160743 53534961 7361301e 170d3133 30353135 30353337 35365a17
    0d323330 35313330 35333735 365a302a 3110300e 06035504 03130743 53534961
    73613116 30140609 2a864886 f70d0109 02160743 53534961 73613081 9f300d06
    092a8648 86f70d01 01010500 03818d00 30818902 818100eb c356d490 b98de2b6
    64079531 4a5aeb04 65aa4398 9fe21a04 f3f0f171 56618230 a3730a54 1e0f9dc9
    e1dece35 9f920887 5253ff08 1d20474f b6180162 516d9fa7 09115d83 fdeb5c3a
    500f69c5 9654f724 c097d735 16365aa4 de1fc705 6ba9f4e7 f926f2bc 18a52aa3
    e711228b 7f44b8e9 7ea9f494 2f368a73 9f07f1af 6467ab02 03010001 300d0609
    2a864886 f70d0101 05050003 81810027 70ebc69f 95f3455a 39fbbc94 773638d4
    c8c9342c ea46c62e c27844d7 3a5c17b6 65df25e6 4d46aba8 7b72d5f6 9a181453
    edffd2b7 a5ec77ff 701711f7 b52cab04 a683204e 9b1f6b7d 3abaddcb 12659ed3
    b296c73a 36205918 2b837c64 f9522e96 da556d53 cb1aee33 6d9527b1 92205f59
    387dc6c1 74766bb6 821b33c4 454fef
  quit
crypto ikev2 policy 1
encryption aes-256
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 10
encryption aes-192
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 20
encryption aes
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 30
encryption 3des
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 40
encryption des
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 enable inside client-services port 443
crypto ikev2 enable outside client-services port 443
crypto ikev2 remote-access trustpoint ASDM_TrustPoint1
telnet inside 255.255.255.0 inside
telnet timeout 5
ssh inside 255.255.255.0 inside
ssh timeout 5
ssh key-exchange group dh-group1-sha1
console timeout 5
management-access inside
dhcpd address 192.168.12.5-192.168.12.22 inside
dhcpd dns 83.149.22.14 8.8.8.8 interface inside
dhcpd lease 1048575 interface inside
dhcpd enable inside
threat-detection basic-threat
threat-detection statistics access-list
threat-detection statistics tcp-intercept rate-interval 30 burst-rate 400 average-rate 200
dynamic-filter ambiguous-is-black
ssl trust-point ASDM_TrustPoint1 inside
ssl trust-point ASDM_TrustPoint1 outside
Ответить | Сообщить модератору

Cisco ASA 5505 + ASDM 'Certificate Validation Failure', jabbson, 10:53 , 14-Мрт-14 (5)
>[оверквотинг удален]
> dhcpd dns 83.149.22.14 8.8.8.8 interface inside
> dhcpd lease 1048575 interface inside
> dhcpd enable inside
> threat-detection basic-threat
> threat-detection statistics access-list
> threat-detection statistics tcp-intercept rate-interval 30 burst-rate 400 average-rate
> 200
> dynamic-filter ambiguous-is-black
> ssl trust-point ASDM_TrustPoint1 inside
> ssl trust-point ASDM_TrustPoint1 outside
А если занулить и снова сгенерировать rsa?
Ответить | Сообщить модератору

Cisco ASA 5505 + ASDM 'Certificate Validation Failure', Michail_M, 10:59 , 14-Мрт-14 (6)
> А если занулить и снова сгенерировать rsa?
Не хотелось бы... Других мыслей нет?
Почитал на разных форумах - у многих есть такая проблема после установки с 8 на 9 версию. Но у меня-то не та ситуация, с 901 на 914. И походу мало кто разбирался толком.
Ответить | Сообщить модератору

Cisco ASA 5505 + ASDM 'Certificate Validation Failure', jabbson, 15:49 , 14-Мрт-14 (7)
>> А если занулить и снова сгенерировать rsa?
> Не хотелось бы... Других мыслей нет?
> Почитал на разных форумах - у многих есть такая проблема после установки
> с 8 на 9 версию. Но у меня-то не та ситуация,
> с 901 на 914. И походу мало кто разбирался толком.
debug http 255?
Ответить | Сообщить модератору

Cisco ASA 5505 + ASDM 'Certificate Validation Failure', Michail_M, 16:10 , 14-Мрт-14 (8)
> debug http 255?
# debug http 255
INFO: 'logging debug-trace' is enabled. All debug messages are currently being r
edirected to syslog:711001 and will not appear in any monitor session
debug http enabled at level 255.
# debug asdm history 255
INFO: 'logging debug-trace' is enabled. All debug messages are currently being r
edirected to syslog:711001 and will not appear in any monitor session
debug asdm history enabled at level 255
# sh run all ssl
ssl server-version any
ssl client-version any
ssl encryption 3des-sha1 des-sha1 rc4-md5 aes128-sha1 aes256-sha1
ssl trust-point ASDM_TrustPoint1 inside
ssl trust-point ASDM_TrustPoint1 outside
ssl certificate-authentication fca-timeout 2
Ответить | Сообщить модератору

Cisco ASA 5505 + ASDM 'Certificate Validation Failure', jabbson, 16:18 , 14-Мрт-14 (9)
>[оверквотинг удален]
> INFO: 'logging debug-trace' is enabled. All debug messages are currently being r
> edirected to syslog:711001 and will not appear in any monitor session
> debug asdm history enabled at level 255
> # sh run all ssl
> ssl server-version any
> ssl client-version any
> ssl encryption rc4-md5 rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1
> ssl trust-point ASDM_TrustPoint1 inside
> ssl trust-point ASDM_TrustPoint1 outside
> ssl certificate-authentication fca-timeout 2
интересно что покажет этот дебаг при попытке зайти на гуй асы. и выключите debug-trace:
no logging debug-trace
logging console info (или logging console debug) >> если в консоли
logging monitor info (или logging monitor debug) >> если по телнету
deb http 225
и попробуйте снова зайти в asdm
Ответить | Сообщить модератору

Cisco ASA 5505 + ASDM 'Certificate Validation Failure', Michail_M, 16:27 , 14-Мрт-14 (10)
> интересно что покажет этот дебаг при попытке зайти на гуй асы.
Самому интересно. Но теперь уже до понедельника. Спасибо за участие!
Ответить | Сообщить модератору

Cisco ASA 5505 + ASDM 'Certificate Validation Failure', jabbson, 16:51 , 14-Мрт-14 (11)
>> интересно что покажет этот дебаг при попытке зайти на гуй асы.
> Самому интересно. Но теперь уже до понедельника. Спасибо за участие!
будем ждать)
Ответить | Сообщить модератору

Cisco ASA 5505 + ASDM 'Certificate Validation Failure', Michail_M, 08:45 , 15-Мрт-14 (12)
> интересно что покажет этот дебаг при попытке зайти на гуй асы. и
> выключите debug-trace:
> no logging debug-trace
> logging console info (или logging console debug) >> если в консоли
> logging monitor info (или logging monitor debug) >> если по телнету
> deb http 225
> и попробуйте снова зайти в asdm
Сегодня попал на работу таки...
проделал
# deb http 225
debug http enabled at level 225
Ничего не изменилось
Ответить | Сообщить модератору

Cisco ASA 5505 + ASDM 'Certificate Validation Failure', jabbson, 09:23 , 15-Мрт-14 (13)
>[оверквотинг удален]
>> no logging debug-trace
>> logging console info (или logging console debug) >> если в консоли
>> logging monitor info (или logging monitor debug) >> если по телнету
>> deb http 225
>> и попробуйте снова зайти в asdm
> Сегодня попал на работу таки...
> проделал
> # deb http 225
> debug http enabled at level 225
> Ничего не изменилось
А что должно было измениться? Это дебаг http - отладочные сообщения об http. Что в них?
Ответить | Сообщить модератору