ASA5506-X - Certyfikat dla ClientSSL + ClientlessSSL
-
- wannabe
- Posty: 266
- Rejestracja: 03 mar 2008, 12:10
ASA5506-X - Certyfikat dla ClientSSL + ClientlessSSL
Ludu,
wrzucilem RootCA na ASA i wygenerowalem dla niej certyfikat, ktory podpialem pod Remote Access. Za kazdym razem, gdy probuje sie zdalnie polaczyc z ASA, jako certyfikat pojawia sie "ASA Temporary SIgned blablabla", mimo, ze wybralem stworzony przeze mnie Trusted Point.
Na starszych modelach nie mialem tego problemu. Czy musze tu cos extra dokonfigurowac?
EDIT:
Wygenerowalem nowy certyfikat, ale dupa - ASA nadal bierze nadal swoj wlasny, tymczasowy cert.
wrzucilem RootCA na ASA i wygenerowalem dla niej certyfikat, ktory podpialem pod Remote Access. Za kazdym razem, gdy probuje sie zdalnie polaczyc z ASA, jako certyfikat pojawia sie "ASA Temporary SIgned blablabla", mimo, ze wybralem stworzony przeze mnie Trusted Point.
Na starszych modelach nie mialem tego problemu. Czy musze tu cos extra dokonfigurowac?
EDIT:
Wygenerowalem nowy certyfikat, ale dupa - ASA nadal bierze nadal swoj wlasny, tymczasowy cert.
-
- wannabe
- Posty: 187
- Rejestracja: 17 kwie 2010, 21:48
- Kontakt:
-
- wannabe
- Posty: 266
- Rejestracja: 03 mar 2008, 12:10
-
- wannabe
- Posty: 266
- Rejestracja: 03 mar 2008, 12:10
Nie, to nie to. Mam:
Zmienilem te algporytmy dla TLSv1.2, pozniej dla DEFAULT na podane w Release Notes (AES256-SHA:AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:DES-CBC3-SHA:DES-CBC-SHA:RC4-SHA:RC4-MD5), pozniej na "ALL". Dalej dupa.
Kod: Zaznacz cały
Cisco Adaptive Security Appliance Software Version 9.5(1)
Device Manager Version 7.5(1)
-
- wannabe
- Posty: 266
- Rejestracja: 03 mar 2008, 12:10
-
- wannabe
- Posty: 266
- Rejestracja: 03 mar 2008, 12:10
- Tam nie bylo, dodalem.
- W Certificates na interfejsie zewnetrznymbyl podpiety.
- W Fallback Certificates dodalem go z listy.
Wylaczylem WEBVPN, ustawilem po raz kolejny Cert dla RA na NONE, pozniej na wlasny (Configuration -> Remote Access VPN -> Network (Client) Access -> AnyConnect Connection Profiles -> Device Certificare...)
Niestety, przy probie polaczenia z ASA (Clientless SSL -> Connection uses TLS 1.2, Connection is encrypted & authenticated using AES_128_GCM and ECDHE_ECDSA as the ey echnage mechanism) + ClientSSL (AnyConnect 4.1.06013), mimo ze Root CA znajduje sie w Trusted CAs, nadal widze ASA Self Signed Certificate
***
Czekam na Contract Number (mamy jakis problem ze SmartNetem) i zdeserowany chyba Case otworze.
Kod: Zaznacz cały
SNI -> Jako domain: DUPA
SNI -> Jako cert: certifikat mojej ASA
- W Fallback Certificates dodalem go z listy.
Wylaczylem WEBVPN, ustawilem po raz kolejny Cert dla RA na NONE, pozniej na wlasny (Configuration -> Remote Access VPN -> Network (Client) Access -> AnyConnect Connection Profiles -> Device Certificare...)
Niestety, przy probie polaczenia z ASA (Clientless SSL -> Connection uses TLS 1.2, Connection is encrypted & authenticated using AES_128_GCM and ECDHE_ECDSA as the ey echnage mechanism) + ClientSSL (AnyConnect 4.1.06013), mimo ze Root CA znajduje sie w Trusted CAs, nadal widze ASA Self Signed Certificate
***
Czekam na Contract Number (mamy jakis problem ze SmartNetem) i zdeserowany chyba Case otworze.
-
- wannabe
- Posty: 266
- Rejestracja: 03 mar 2008, 12:10
Doxer, jednak to jest czesc rozwiazaniadoxer pisze:Zobacz czy nie spotykasz się z tym przypadkiem link
Otworzylem tez case w Cisco i mamy cale rozwiazanie:
BUG CSCuu02848
https://tools.cisco.com/bugsearch/bug/C ... ite=dumpcr
Z powrotem aktywowalismy:
Kod: Zaznacz cały
ASA5506-X(config)# sh run ssl
ssl cipher tlsv1.2 custom "AES256-SHA:AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:DES-CBC3-SHA:DES-CBC-SHA:RC4-SHA:RC4-MD5"
Super, dzięki za opis problemu, może się przydaćdawid.mitura pisze:Doxer, jednak to jest czesc rozwiazaniadoxer pisze:Zobacz czy nie spotykasz się z tym przypadkiem link
Otworzylem tez case w Cisco i mamy cale rozwiazanie:
BUG CSCuu02848
https://tools.cisco.com/bugsearch/bug/C ... ite=dumpcr
Z powrotem aktywowalismy:+ stworzylismy na nowo TrustPoint, Cert Request dla ASA, nowy cert dla ASA i aktywowalismy na nowo usluge WEBVPN. W AnyConnect i przegladarce nie mam juz bledu o nieznanym (self signed temp cert) certyfikacieKod: Zaznacz cały
ASA5506-X(config)# sh run ssl ssl cipher tlsv1.2 custom "AES256-SHA:AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:DES-CBC3-SHA:DES-CBC-SHA:RC4-SHA:RC4-MD5"