Strona 1 z 1
ASA5506-X - Certyfikat dla ClientSSL + ClientlessSSL
: 17 wrz 2015, 08:44
autor: dawid.mitura
Ludu,
wrzucilem RootCA na ASA i wygenerowalem dla niej certyfikat, ktory podpialem pod Remote Access. Za kazdym razem, gdy probuje sie zdalnie polaczyc z ASA, jako certyfikat pojawia sie "ASA Temporary SIgned blablabla", mimo, ze wybralem stworzony przeze mnie Trusted Point.
Na starszych modelach nie mialem tego problemu. Czy musze tu cos extra dokonfigurowac?
EDIT:
Wygenerowalem nowy certyfikat, ale dupa - ASA nadal bierze nadal swoj wlasny, tymczasowy cert.
: 17 wrz 2015, 09:28
autor: michaliwanczuk
a przypiąłeś ten certyfikat do Interfejsu (usługi) ja to zawsze robię przez ASDM
Configuration --> Remote VPN --> Client SSL ---> Connectin profiles --> Device Certyficate
i tu wybierasz Twój nowy certyfikat
: 17 wrz 2015, 11:54
autor: dawid.mitura
Pewnie, ze tak. Przez ASDMa, pozniej przez CLI sprobowalem...
: 17 wrz 2015, 12:03
autor: doxer
Zobacz czy nie spotykasz się z tym przypadkiem
link
: 17 wrz 2015, 12:44
autor: dawid.mitura
Nie, to nie to. Mam:
Kod: Zaznacz cały
Cisco Adaptive Security Appliance Software Version 9.5(1)
Device Manager Version 7.5(1)
Zmienilem te algporytmy dla TLSv1.2, pozniej dla DEFAULT na podane w Release Notes
(AES256-SHA:AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:DES-CBC3-SHA:DES-CBC-SHA:RC4-SHA:RC4-MD5), pozniej na "ALL". Dalej dupa.
: 17 wrz 2015, 18:22
autor: dawid.mitura
Wystartowalem ASA na nowo i dupa - dalej widac ASA Selft Signed Cert
: 18 wrz 2015, 09:56
autor: PioFlo
a w Configuration -> Device management -> Advanced -> SSL Settings tez poustawiane na nowy cert?
: 18 wrz 2015, 10:17
autor: dawid.mitura
- Tam nie bylo, dodalem.
Kod: Zaznacz cały
SNI -> Jako domain: DUPA
SNI -> Jako cert: certifikat mojej ASA
- W Certificates na interfejsie zewnetrznymbyl podpiety.
- W Fallback Certificates dodalem go z listy.
Wylaczylem WEBVPN, ustawilem po raz kolejny Cert dla RA na NONE, pozniej na wlasny
(Configuration -> Remote Access VPN -> Network (Client) Access -> AnyConnect Connection Profiles -> Device Certificare...)
Niestety, przy probie polaczenia z ASA (
Clientless SSL -> Connection uses TLS 1.2, Connection is encrypted & authenticated using AES_128_GCM and ECDHE_ECDSA as the ey echnage mechanism) + ClientSSL (AnyConnect 4.1.06013), mimo ze Root CA znajduje sie w Trusted CAs, nadal widze ASA Self Signed Certificate
***
Czekam na Contract Number (mamy jakis problem ze SmartNetem) i zdeserowany chyba Case otworze.
: 22 wrz 2015, 11:28
autor: dawid.mitura
doxer pisze:Zobacz czy nie spotykasz się z tym przypadkiem
link
Doxer, jednak to jest czesc rozwiazania
Otworzylem tez case w Cisco i mamy cale rozwiazanie:
BUG CSCuu02848
https://tools.cisco.com/bugsearch/bug/C ... ite=dumpcr
Z powrotem aktywowalismy:
Kod: Zaznacz cały
ASA5506-X(config)# sh run ssl
ssl cipher tlsv1.2 custom "AES256-SHA:AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:DES-CBC3-SHA:DES-CBC-SHA:RC4-SHA:RC4-MD5"
+ stworzylismy na nowo TrustPoint, Cert Request dla ASA, nowy cert dla ASA i aktywowalismy na nowo usluge WEBVPN. W AnyConnect i przegladarce nie mam juz bledu o nieznanym (self signed temp cert) certyfikacie
: 22 wrz 2015, 12:46
autor: doxer
dawid.mitura pisze:doxer pisze:Zobacz czy nie spotykasz się z tym przypadkiem
link
Doxer, jednak to jest czesc rozwiazania
Otworzylem tez case w Cisco i mamy cale rozwiazanie:
BUG CSCuu02848
https://tools.cisco.com/bugsearch/bug/C ... ite=dumpcr
Z powrotem aktywowalismy:
Kod: Zaznacz cały
ASA5506-X(config)# sh run ssl
ssl cipher tlsv1.2 custom "AES256-SHA:AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:DES-CBC3-SHA:DES-CBC-SHA:RC4-SHA:RC4-MD5"
+ stworzylismy na nowo TrustPoint, Cert Request dla ASA, nowy cert dla ASA i aktywowalismy na nowo usluge WEBVPN. W AnyConnect i przegladarce nie mam juz bledu o nieznanym (self signed temp cert) certyfikacie
Super, dzięki za opis problemu, może się przydać