Mam ASA5506-X na którą kupiliśmy licencję na dostęp do anyconnect przez urządzenia mobilne.
Początkowo anyconect został skonfigurowany za pomocą certyfikatu self signed, ale zdecydowaliśmy że komunikat o niezaufanym certyfikacie jest drażniący i postanowiliśmy wykorzystać posiadany certyfikat wildcardowy RapidSSL Wildcard.
Certyfikat komercyjny został zaimportowany poprawnie w ASDM na urządzenie i skonfigurowany do użytku przez anyconnect. Skutek jest tego taki, że z komputera połączenie działa poprawnie (nie wyskakuje monit o nieprawidłowym certyfikacie) i nawet w aplikacji klienta anyconnect jak jest zaznaczone "Block connections to utrusted servers" to połączenie jest zestawiane prawidłowo i vpn działa poprawnie. Problem jest z urządzeniami mobilnymi, gdy używam certyfikatu self signed to połączenie jest zestawiane, natomiast przy użyciu certyfikatu komercyjnego, telefon się nie łączy i wyskakuje błąd "Próba połączenia nie powiodła się z powodu błędu komunikacji serwera. Spróbuj wznowić połaczenie.
Wychodzi na to, że asa chyba nie chce działać z komercyjnym certyfikatem wildcard, ma może ktoś dla mnie jakąś radę co z tym zrobić ?
anyconnect
Re: anyconnect
hejka,okoo pisze: ↑11 sty 2018, 10:54 Mam ASA5506-X na którą kupiliśmy licencję na dostęp do anyconnect przez urządzenia mobilne.
Początkowo anyconect został skonfigurowany za pomocą certyfikatu self signed, ale zdecydowaliśmy że komunikat o niezaufanym certyfikacie jest drażniący i postanowiliśmy wykorzystać posiadany certyfikat wildcardowy RapidSSL Wildcard.
Certyfikat komercyjny został zaimportowany poprawnie w ASDM na urządzenie i skonfigurowany do użytku przez anyconnect. Skutek jest tego taki, że z komputera połączenie działa poprawnie (nie wyskakuje monit o nieprawidłowym certyfikacie) i nawet w aplikacji klienta anyconnect jak jest zaznaczone "Block connections to utrusted servers" to połączenie jest zestawiane prawidłowo i vpn działa poprawnie. Problem jest z urządzeniami mobilnymi, gdy używam certyfikatu self signed to połączenie jest zestawiane, natomiast przy użyciu certyfikatu komercyjnego, telefon się nie łączy i wyskakuje błąd "Próba połączenia nie powiodła się z powodu błędu komunikacji serwera. Spróbuj wznowić połaczenie.
Wychodzi na to, że asa chyba nie chce działać z komercyjnym certyfikatem wildcard, ma może ktoś dla mnie jakąś radę co z tym zrobić ?
jakie urządzenie mobilne ? Android/Windows/Apple? Z nimi zawsze jest problem mimo, że cert powinien być zaufany. W większości przypadków działa tylko trzeba zaakceptować.
Probowałeś skasować cert który masz przypisany do danego FQDN-a, żeby zaufał nowemu?
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
Re: anyconnect
Cześć
Urządzenia mobilne to android i ios, jest ten sam efekt.
Jedna sprawa to fakt że certyfikat wyskakuje ze jest niezaufany, ale nawet po zaakceptowaniu tego certyfikatu sie nie łączy, po zaimportowaniu jest to samo.
Urządzenia mobilne to android i ios, jest ten sam efekt.
Jedna sprawa to fakt że certyfikat wyskakuje ze jest niezaufany, ale nawet po zaakceptowaniu tego certyfikatu sie nie łączy, po zaimportowaniu jest to samo.
Masz tu na myśli skasowanie certu na urządzeniu mobilnym ?Probowałeś skasować cert który masz przypisany do danego FQDN-a, żeby zaufał nowemu?
Re: anyconnect
a jaki certyfikat Ci wyświetla na urządzeniu mobilnym? Stary self-signed czy nowy który powinien być zaufany? Bo jeśli pierwsze to cache na urządzeniu mobilny i opcji jest pare - skasować go jak się da, reboot urządzenia, lub reinstalka AnyConnecta. Jeśli drugie to znaczy, że urządzenie nie ma Root CA dla tego certa i to z kolei opcje są - upgrade softu na urządzeniu (jeśli da się), albo MDM / ręczny import Root CA, ale to nie się trochę rozmywa z sensem płacenia za trusted cert...okoo pisze: ↑11 sty 2018, 11:25 Cześć
Urządzenia mobilne to android i ios, jest ten sam efekt.
Jedna sprawa to fakt że certyfikat wyskakuje ze jest niezaufany, ale nawet po zaakceptowaniu tego certyfikatu sie nie łączy, po zaimportowaniu jest to samo.Masz tu na myśli skasowanie certu na urządzeniu mobilnym ?Probowałeś skasować cert który masz przypisany do danego FQDN-a, żeby zaufał nowemu?
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
Re: anyconnect
Jeszcze takie 3 grosze - ja miałem problem z urządzeniami mobilnymi jak na ASA nie było całej ścieżki certyfikacji, czyli dla certa który przypisujesz do AnyConnecta musi być RootCA i wszystkie pośrednie które są w ścieżce.
Re: anyconnect
Hmmm ale to chyba normalne na każdym urządzeniu, serwerze etc. zazwyczaj wgrywa się certa i chaincert.