Labuje sobie konfiguracje z RA VPN na ASA +Digital Certificate z MS CA wszystko działa ok pod warunkiem ze certyfikat dla klienta generuje z poziomu strony web - w CA widzę wystawiony certyfikat (Template: User(User)) - w tym wypadku tunel sie zestawia.
Problem zaczyna się gdy chce zrobić enroll via scep z cisco vpn clienta - CA generuje certyfikat (Template: IPsec(Offline request)) ale w chwili gdy próbuje się uwierzytelnić ASA wyrzuca błędy:
Kod: Zaznacz cały
Mar 24 21:00:32 [IKEv1]: IP = 136.1.100.200, Trying to find group via cert rules...
Mar 24 21:00:32 [IKEv1]: IP = 136.1.100.200, Connection landed on tunnel_group IT
Mar 24 21:00:32 [IKEv1]: Group = IT, IP = 136.1.100.200, Peer Certificate authentication failed: General Error
Mar 24 21:00:32 [IKEv1 DEBUG]: Group = IT, IP = 136.1.100.200, IKE MM Responder FSM error history (struct &0xc919c0d8) <state>, <event>: MM_DONE, EV_ERROR-->MM_BLD_MSG6, EV_VALIDATE_CERT-->MM_BLD_MSG6, EV_UPDATE_CERT-->MM_BLD_MSG6, EV_TEST_CERT-->MM_BLD_MSG6, EV_CHECK_NAT_T-->MM_BLD_MSG6, EV_GROUP_LOOKUP-->MM_WAIT_MSG5, EV_PROCESS_MSG-->MM_WAIT_MSG5, EV_VALIDATE_MSG
Mar 24 21:00:32 [IKEv1 DEBUG]: Group = IT, IP = 136.1.100.200, IKE SA MM:71c17582 terminating: flags 0x0105c002, refcnt 0, tuncnt 0
Mar 24 21:00:32 [IKEv1 DEBUG]: Group = IT, IP = 136.1.100.200, sending delete/delete with reason message
Mar 24 21:00:32 [IKEv1 DEBUG]: Group = IT, IP = 136.1.100.200, constructing blank hash payload