CA +Cisco VPN Client - Enroll via SCEP ?

[gonte]

Może temat nie do końca Cisco bo problem chyba raczej w konfiguracji CA ale może ktoś już to przerabiał i podpowie bo mi pomysły się skończyły :/

Labuje sobie konfiguracje z RA VPN na ASA +Digital Certificate z MS CA wszystko działa ok pod warunkiem ze certyfikat dla klienta generuje z poziomu strony web - w CA widzę wystawiony certyfikat (Template: User(User)) - w tym wypadku tunel sie zestawia.

Problem zaczyna się gdy chce zrobić enroll via scep z cisco vpn clienta - CA generuje certyfikat (Template: IPsec(Offline request)) ale w chwili gdy próbuje się uwierzytelnić ASA wyrzuca błędy:

Kod: Zaznacz cały

Mar 24 21:00:32 [IKEv1]: IP = 136.1.100.200, Trying to find group via cert rules...
Mar 24 21:00:32 [IKEv1]: IP = 136.1.100.200, Connection landed on tunnel_group IT
Mar 24 21:00:32 [IKEv1]: Group = IT, IP = 136.1.100.200, Peer Certificate authentication failed: General Error
Mar 24 21:00:32 [IKEv1 DEBUG]: Group = IT, IP = 136.1.100.200, IKE MM Responder FSM error history (struct &0xc919c0d8)  <state>, <event>:  MM_DONE, EV_ERROR-->MM_BLD_MSG6, EV_VALIDATE_CERT-->MM_BLD_MSG6, EV_UPDATE_CERT-->MM_BLD_MSG6, EV_TEST_CERT-->MM_BLD_MSG6, EV_CHECK_NAT_T-->MM_BLD_MSG6, EV_GROUP_LOOKUP-->MM_WAIT_MSG5, EV_PROCESS_MSG-->MM_WAIT_MSG5, EV_VALIDATE_MSG
Mar 24 21:00:32 [IKEv1 DEBUG]: Group = IT, IP = 136.1.100.200, IKE SA MM:71c17582 terminating:  flags 0x0105c002, refcnt 0, tuncnt 0
Mar 24 21:00:32 [IKEv1 DEBUG]: Group = IT, IP = 136.1.100.200, sending delete/delete with reason message
Mar 24 21:00:32 [IKEv1 DEBUG]: Group = IT, IP = 136.1.100.200, constructing blank hash payload

Jakiś hint w czym może być problem ??

[gryglas]

Z certyfikatami to zawsze jest wesoło
zerknij na to :
http://www.cisco.com/en/US/docs/securit ... dmcer.html

[gonte]

Z certyfikatami to zawsze jest wesoło
zerknij na to :
http://www.cisco.com/en/US/docs/securit ... dmcer.html

To już widziałem - i tak jak napisałem wyżej problem jest tylko wtedy gdy robię enroll certyfikatu z poziomu VPN Clienta przez SCEP. Dla ASA wszystko odbywa się bez problemu, tak samo nie ma problemu gdy certyfikat dla klienta generuje poprzez stronę http://aaa/certsrv/.

[gryglas]

Żebym dobrze zrozumiał :
Generujesz sobie request z Clienta VPN i wysyłasz do CA , CA musi je podbić i odesłać jako certyfikat , który ląduje w storze Clienta VPN i uwierzytelniony klient może się już zapiąć.

Problem jest po odebraniu certyfikatu i próby uwierzytelnienia ?

Procedura dla VPN Clienta:
http://www.cisco.com/en/US/docs/securit ... mkr1192144.

p.s.
Czy na otrzymanym certyfikacie z CA , ścieżka certyfikacji się zgadza?

[gonte]

Żebym dobrze zrozumiał :
Generujesz sobie request z Clienta VPN i wysyłasz do CA , CA musi je podbić i odesłać jako certyfikat , który ląduje w storze Clienta VPN i uwierzytelniony klient może się już zapiąć.

Problem jest w trakcie wysłania requestu do CA ?

Procedura , jak ta:
http://www.cisco.com/en/US/docs/securit ... mkr1192144

Certyfikat generuje - a raczej podpisuje w CA na dwa sposoby:

1. Loguje sie sie na strone CA przez przeglądarkę: http://adres_mojego_CA/certsrv/ - i robie request cert laduje w systemie (store Microsoft) i widać go w Cisco VPN - przykład stąd http://www.cisco.com/en/US/products/ps6 ... tml#client

W tym wypadku wszystko działa tak jak powinno czyli klient łączy się i uwierzytelnia.


2. Enroll via SCEP - opisany w dokumencie który podesłałeś jako Enrolling through network http://www.cisco.com/en/US/docs/securit ... #wp1190239 - w tym wypadku certyfikat tez się ściąga ląduje w store Cisco ale w chwili połączenia do ASA występuje błąd jak w pierwszym poście.

Jedyne różnice jakie zauważyłem to rodzaj template'u w MS CA jaki był użyty - działający to User, niedziałający to IPsec (Offline).

[gryglas]

Czy certyfikat który dostałeś z CA w zakładce General ma adnotacje ,że posiadasz klucz prywatny tzw. odcisk palca ?

Klikamy teraz prawym na certyfikat i z menu wybieramy Open. Upewnijmy się, że jesteśmy w posiadaniu klucza prywatnego. Świadczyć o tym będzie ikonka klucza z opisem „You have a private key that corresponds to this certificate”, w dolnej części zakładki General

[gonte]

Czy certyfikat który dostałeś z CA w zakładce General ma adnotacje ,że posiadasz klucz prywatny tzw. odcisk palca ?

Klikamy teraz prawym na certyfikat i z menu wybieramy Open. Upewnijmy się, że jesteśmy w posiadaniu klucza prywatnego. Świadczyć o tym będzie ikonka klucza z opisem „You have a private key that corresponds to this certificate”, w dolnej części zakładki General

Certyfikat który ściągnąłem przez www jest ok - pokazuje tak jak napisałeś.

Z certyfikatem ściągniętym przez SCEP jest jakiś problem widzę go w kliencie, ale nie mogę go nigdzie znaleźć tak aby sprawdzić czy klucze się zgadzają. I najprawdopodobniej w tym cały problem.

[gonte]

Dopiero dzisiaj miałem chwile czasu na potestowanie dalej, powiem tylko ze działa ale zadziałało dopiero po wywaleniu CA z domeny i reinstalacji CA. Wiec wnioskuje ze gdzieś przy konfiguracji CA zrobiłem początkowo coś nie tak...