ASA5506-X - Certyfikat dla ClientSSL + ClientlessSSL

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)

Moderatorzy: mikrobi, garfield, gangrena, Seba, aron, PatrykW

Wiadomość
Autor
dawid.mitura
wannabe
wannabe
Posty: 266
Rejestracja: 03 mar 2008, 12:10

ASA5506-X - Certyfikat dla ClientSSL + ClientlessSSL

#1

#1 Post autor: dawid.mitura »

Ludu,

wrzucilem RootCA na ASA i wygenerowalem dla niej certyfikat, ktory podpialem pod Remote Access. Za kazdym razem, gdy probuje sie zdalnie polaczyc z ASA, jako certyfikat pojawia sie "ASA Temporary SIgned blablabla", mimo, ze wybralem stworzony przeze mnie Trusted Point.

Na starszych modelach nie mialem tego problemu. Czy musze tu cos extra dokonfigurowac?

EDIT:
Wygenerowalem nowy certyfikat, ale dupa - ASA nadal bierze nadal swoj wlasny, tymczasowy cert.

michaliwanczuk
wannabe
wannabe
Posty: 187
Rejestracja: 17 kwie 2010, 21:48
Kontakt:

#2

#2 Post autor: michaliwanczuk »

a przypiąłeś ten certyfikat do Interfejsu (usługi) ja to zawsze robię przez ASDM
Configuration --> Remote VPN --> Client SSL ---> Connectin profiles --> Device Certyficate
i tu wybierasz Twój nowy certyfikat
Michał

dawid.mitura
wannabe
wannabe
Posty: 266
Rejestracja: 03 mar 2008, 12:10

#3

#3 Post autor: dawid.mitura »

Pewnie, ze tak. Przez ASDMa, pozniej przez CLI sprobowalem...

doxer
member
member
Posty: 31
Rejestracja: 25 lut 2009, 07:09

#4

#4 Post autor: doxer »

Zobacz czy nie spotykasz się z tym przypadkiem link

dawid.mitura
wannabe
wannabe
Posty: 266
Rejestracja: 03 mar 2008, 12:10

#5

#5 Post autor: dawid.mitura »

Nie, to nie to. Mam:

Kod: Zaznacz cały

Cisco Adaptive Security Appliance Software Version 9.5(1) 
Device Manager Version 7.5(1)
Zmienilem te algporytmy dla TLSv1.2, pozniej dla DEFAULT na podane w Release Notes (AES256-SHA:AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:DES-CBC3-SHA:DES-CBC-SHA:RC4-SHA:RC4-MD5), pozniej na "ALL". Dalej dupa.

dawid.mitura
wannabe
wannabe
Posty: 266
Rejestracja: 03 mar 2008, 12:10

#6

#6 Post autor: dawid.mitura »

Wystartowalem ASA na nowo i dupa - dalej widac ASA Selft Signed Cert

PioFlo
fresh
fresh
Posty: 4
Rejestracja: 07 kwie 2015, 10:58

#7

#7 Post autor: PioFlo »

a w Configuration -> Device management -> Advanced -> SSL Settings tez poustawiane na nowy cert?

dawid.mitura
wannabe
wannabe
Posty: 266
Rejestracja: 03 mar 2008, 12:10

#8

#8 Post autor: dawid.mitura »

- Tam nie bylo, dodalem.

Kod: Zaznacz cały

SNI -> Jako domain: DUPA
SNI -> Jako cert: certifikat mojej ASA
- W Certificates na interfejsie zewnetrznymbyl podpiety.
- W Fallback Certificates dodalem go z listy.

Wylaczylem WEBVPN, ustawilem po raz kolejny Cert dla RA na NONE, pozniej na wlasny (Configuration -> Remote Access VPN -> Network (Client) Access -> AnyConnect Connection Profiles -> Device Certificare...)

Niestety, przy probie polaczenia z ASA (Clientless SSL -> Connection uses TLS 1.2, Connection is encrypted & authenticated using AES_128_GCM and ECDHE_ECDSA as the ey echnage mechanism) + ClientSSL (AnyConnect 4.1.06013), mimo ze Root CA znajduje sie w Trusted CAs, nadal widze ASA Self Signed Certificate

***

Czekam na Contract Number (mamy jakis problem ze SmartNetem) i zdeserowany chyba Case otworze.

dawid.mitura
wannabe
wannabe
Posty: 266
Rejestracja: 03 mar 2008, 12:10

#9

#9 Post autor: dawid.mitura »

doxer pisze:Zobacz czy nie spotykasz się z tym przypadkiem link
Doxer, jednak to jest czesc rozwiazania :)
Otworzylem tez case w Cisco i mamy cale rozwiazanie:
BUG CSCuu02848
https://tools.cisco.com/bugsearch/bug/C ... ite=dumpcr

Z powrotem aktywowalismy:

Kod: Zaznacz cały

ASA5506-X(config)#   sh run ssl
ssl cipher tlsv1.2 custom "AES256-SHA:AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:DES-CBC3-SHA:DES-CBC-SHA:RC4-SHA:RC4-MD5"
+ stworzylismy na nowo TrustPoint, Cert Request dla ASA, nowy cert dla ASA i aktywowalismy na nowo usluge WEBVPN. W AnyConnect i przegladarce nie mam juz bledu o nieznanym (self signed temp cert) certyfikacie :-)

doxer
member
member
Posty: 31
Rejestracja: 25 lut 2009, 07:09

#10

#10 Post autor: doxer »

dawid.mitura pisze:
doxer pisze:Zobacz czy nie spotykasz się z tym przypadkiem link
Doxer, jednak to jest czesc rozwiazania :)
Otworzylem tez case w Cisco i mamy cale rozwiazanie:
BUG CSCuu02848
https://tools.cisco.com/bugsearch/bug/C ... ite=dumpcr

Z powrotem aktywowalismy:

Kod: Zaznacz cały

ASA5506-X(config)#   sh run ssl
ssl cipher tlsv1.2 custom "AES256-SHA:AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:DES-CBC3-SHA:DES-CBC-SHA:RC4-SHA:RC4-MD5"
+ stworzylismy na nowo TrustPoint, Cert Request dla ASA, nowy cert dla ASA i aktywowalismy na nowo usluge WEBVPN. W AnyConnect i przegladarce nie mam juz bledu o nieznanym (self signed temp cert) certyfikacie :-)
Super, dzięki za opis problemu, może się przydać :)

ODPOWIEDZ