Проблема сертификата сервера с клиентом Cisco AnyConnect VPN

sudo dpkg-reconfigure exim4

Один из вопросов, который он задал вам, — это имя «System mail name». Вы хотите это изменить.

7 ответов

Я могу подтвердить, что эта проблема существует. Клиент Anyconnect работал нормально с 11.10, но перестает работать с 12.04. Старый трюк со ссылками на библиотеки Firefox больше не работает. Я использую OpenConnect.

Подробнее о проблеме Cisco Anyconnect:

Как видно из журнала: пользователь был удалось войти, но клиенту Anyconnect все еще не удалось установить vpn-соединение.

Клиент Cisco AnyConnect VPN (версия 2.5.3055).

Убедитесь, что у вас установлен Firefox и вы можете его успешно запустить. Если все прошло успешно, попробуйте выполнить еще несколько шагов по устранению неполадок.

Вот как я это сделал.

Затем я выяснил, какой центр сертификации мы используем, а именно COMODO, нашел сайт, который использует этот ЦС, загрузил его с помощью браузера и поместил в

Проблема решена в Ubuntu 12.04 64 бит. смотрите здесь: http://www.oit.uci.edu/security/vpn/vpn-lin.html

У меня сработало следующее исправление — новая установка 12.04 LTS 32bit (с Firefox 12). Установил клиент AnyConnect, затем попытался запустить его.

Получил это сообщение:

AnyConnect не может подтвердить, что он подключен к вашему безопасному шлюзу. Локальная сеть может быть ненадежной. Пожалуйста, попробуйте другую сеть.

Проверен системный журнал в Ubuntu. Много такого рода вещей:

Создано / .cisco/certificates/ca каталогов в /opt с использованием sudo

Мы используем Globalsign в качестве нашего центра сертификации. Поэтому я просто скопировал все файлы Globalsign .pem из /etc/ssl/certs . Если вы не знаете своего провайдера, вы можете просто скопировать все.

или если CA неизвестен

Мне удалось запустить клиент AnyConnect и подключиться к VPN

Надеюсь, это поможет.

Я попробовал эти упомянутые выше решения, и ни один из них не помог. Но когда я попробовал некоторые из этих решений ниже имения отношение к библиотекам Firefox, я имел успех!

Я не могу сказать, который является Лучшим решением, но я следовал за направлениями на обоих из этих сайтов и имел успех. Возможно, можно найти решение, которое работает на Вас. Если Вы знаете, какой является лучшим, сообщите нам, какая переменная сразу решила проблему. Все, что я знаю, — то, что после создания некоторых из этих изменений, я наконец получил свою работу Cisco Anyconnect VPN. Я — Firefox на Ubuntu 12.04.

Cisco anyconnect certificate validation failure windows

Вопрос

После апгрейда с Windows 7 до Windows 8 я, как и многие другие пользователи, столкнулся с проблемой подключения к офису через Cisco VPN Client. В моём случае под Windows 7 был установлен Cisco AnyConnect 2.5.6005, который работал без нареканий.

После апгрейда система сообщила, что AnyConnect требуется переустановить, но переустановка мне не помогла. Возникала ошибка Failed to enable Virtual Adapter. Симптомы были схожими, как описано в статье

Я всё же не стал ничего ковырять в системе и решил просто скачать последнюю версию Cisco AnyConnect c сайта cisco.com. На данный момент последняя версия 3.1.01065.

Но тут возникли другие проблемы. Cisco AnyConnect не видит SSL сертификат VPN сервера, настроенного на Cisco ASA 5510. Выдаёт следующее сообщение «No valid certificates available for authentication».

Сертификат для Cisco ASA 5510 выдавался нашим корпоративным центром сертификации по шаблону «WebServer». Этот сертификат, а также сертификат самого центра сертификации я импортировал в Доверенные корневые центры сертификации через консоль certmgr.msc. В списке сертификатов я их вижу и оба они действительные.

Но есть одно хитрое НО. Дело в том, что, если посмотреть список сертификатов через свойства обозревателя Internet Explorer (в закладке «Содержание» — «Сертификаты»), то почему-то сертификат Cisco ASA не отображается в списке Доверенных корневых центрах сертификации, как буд-то его нет в системе, а если открыть certmgr.msc, то там он есть! Чудеса. Сертификат от самого центра сертификации присутствует и там и тут.

Есть предположение, что Cisco AnyConnect смотрит сертификаты через свойства обозревателя и, не обнаруживая его там, выдаёт ошибку «No valid certificates available for authentication». Хотя повторюсь, что на Windows 7 никаких проблем с сертификатами не было.

Как заставить Cisco AnyConnect всё таки увидить сертификат?

Тот же самый вопрос, который я задавал сначала там

Cisco anyconnect certificate validation failure windows

This forum has migrated to Microsoft Q&A. Visit Microsoft Q&A to post new questions.

Answered by:

Question

We have couple window machine where when try to connect to VPN thru cisco anyconnect secure mobility client , we get an error certificate validation failure. GPUpdate is succesffull

Is this issue related to AD. or what is the possible cause for this?

Answers

I would start by digging further into the Group Policy Object that is supposed to be pushing the certificates out. Does everything look like it’s configure properly?(https://blogs.technet.microsoft.com/yungchou/2013/10/21/enterprise-pki-with-windows-server-2012-r2-active-directory-certificate-services-part-1-of-2/)

If it’s just a small set of machines aren’t getting the certificates, is there anything in common with those machines or users? Are they in the same Active Directory OU? Are they getting other group policies? Try to figure out what makes these particular users/machines different.

• Edited by C M Wilson Friday, April 8, 2016 7:01 PM
• Proposed as answer by Teemo Tang Microsoft contingent staff Friday, April 15, 2016 7:39 AM
• Marked as answer by MeipoXu Microsoft contingent staff Friday, April 29, 2016 1:45 AM

All replies

Is the certificate added to the Trust Store?

The following link will be helpful:

Further, kindly check if the certificate is not expired.

• Edited by Balaji M Kundalam MVP Tuesday, April 5, 2016 4:08 AM

Thanks for reply,

Certificate is not expired, i believe its gets pushed to the clients automitically from server.

How should i proceed further

Kindly post your query here:

According to your description, I think you may meet with this condition.

If so, I find out a similar case, maybe can give you some prompt.

Also, I suggest to contact Cisco support for help, I browse their community, many users faced same error message like you, they may give you more suitable suggestions.

Please Note: Since the website is not hosted by Microsoft, the link may change without notice. Microsoft does not guarantee the accuracy of this information.

Please remember to mark the replies as answers if they help, and unmark the answers if they provide no help. If you have feedback for TechNet Support, contact tnmff@microsoft.com.

I got more info on this

PKI CA server is configured with the default ADCS templates & integrated with AD, further then the certificates are pushed off to the users based on the templates by AD.

Now if the certificates are not pushed to the user, what should i check?

I would start by digging further into the Group Policy Object that is supposed to be pushing the certificates out. Does everything look like it’s configure properly?(https://blogs.technet.microsoft.com/yungchou/2013/10/21/enterprise-pki-with-windows-server-2012-r2-active-directory-certificate-services-part-1-of-2/)

If it’s just a small set of machines aren’t getting the certificates, is there anything in common with those machines or users? Are they in the same Active Directory OU? Are they getting other group policies? Try to figure out what makes these particular users/machines different.

• Edited by C M Wilson Friday, April 8, 2016 7:01 PM
• Proposed as answer by Teemo Tang Microsoft contingent staff Friday, April 15, 2016 7:39 AM
• Marked as answer by MeipoXu Microsoft contingent staff Friday, April 29, 2016 1:45 AM

This helped me a lot to understand the concept.

as of now we have only couple of machine in different OU facing the issue.

will investigate further and update you.

If it’s just a couple of machines, it’s possible that something is wrong with those machines themselves, and perhaps not your Certificate Services or Group Policy. If you look in the Event Viewer on the problem machines, see if they are processing *any* group policies at all. And see if any other errors are popping up in the Event Viewer.

Machines that have had malware in the past may exhibit strange behavior. So make sure to run a virus scan on any problem machines and make sure they are clean. Sometimes, you just have to rebuild a machine, because who knows what it’s been through in the past that is making it abnormal today.

Came across the same issue a few days back and found what was actually causing this error.

The source of the problem is neither in CA certificates, nor ASA certificate — as the error says, it is indeed in the client computer’s certificate. When requesting for a certificate, make sure the Client Authentication and Server Authentication are NOT marked as critical under the extended key usage (Application policies).

The reason validation fails is because the ASA certificate has only All issuance policies, but no Application polices and marking the above two as critical in the client’s certificate will change it to a type that is not considered valid by the ASA certificate.

Cisco anyconnect certificate validation failure windows

» means nesting-related): — Failed at: @displayUserCertifications user_id [in template «custom.author-acclaim-certifications» at line 4, column 9] ——>

• Mark as New
• Bookmark
• Subscribe
• Mute
• Subscribe to RSS Feed
• Permalink
• Print
• Email to a Friend
• Report Inappropriate Content

I hope that someone can point me in the right direction. Over the past several weeks random users are no longer able to connect via AnyConnect once they’ve logged into Windows 10. They can however use Signon before Logon (SBL) and connect. What’s odd is only a small group of users are having the issue. To make this even more complex we have two sites each with their own concentrator. Typically everyone connects to Site A and everything functions properly, except for that small group of users mentioned above when they try to connect after they have logged onto Windows. Those users which were receiving «Certificate Validation Failure: message is able to connect to Site B, both before and after Windows logon. I’ve pulled multiple DART logs plus looked at Process Monitor logs and I can’t find anything that points to the issue. We’ve even gone so far as to create a new profile for a user only for the issue to come back. All of the machines are in the same OU. We’ve deleted all of the personal certs from the cert store, no luck.

Cisco anyconnect certificate validation failure windows

» means nesting-related): — Failed at: @displayUserCertifications user_id [in template «custom.author-acclaim-certifications» at line 4, column 9] ——>

• Mark as New
• Bookmark
• Subscribe
• Mute
• Subscribe to RSS Feed
• Permalink
• Print
• Email to a Friend
• Report Inappropriate Content

Ok so here’s the scoop , I have a VPN setup on out ASA5510 , authentication is happening via local user database and local certificate authority. Everything works as it should on a windows XP system , install the certificate , launch Anyconnect , the VPN connects just fine.

On a windows 7 Pro installation , I can launch the VPN via web browser and connect to the VPN just fine. When I try to connect the VPN directly from Anyconnect software via the start menu I get a certificate validation Failure error .Have tried reimporting the certificate, regenerating etc. the cert is in the Certificate store . I upgraded to Anyconnect 2.4 and still get the same issue, Anyone run into this problem ?

» means nesting-related): — Failed at: @displayUserCertifications user_id [in template «custom.author-acclaim-certifications» at line 4, column 9] ——>

• Mark as New
• Bookmark
• Subscribe
• Mute
• Subscribe to RSS Feed
• Permalink
• Print
• Email to a Friend
• Report Inappropriate Content

Can you provide the anyconnect event logs and the following debugs from ASA

debug webvpn 128

deb web svc 128

deb crypto ca 255

» means nesting-related): — Failed at: @displayUserCertifications user_id [in template «custom.author-acclaim-certifications» at line 4, column 9] ——>

• Mark as New
• Bookmark
• Subscribe
• Mute
• Subscribe to RSS Feed
• Permalink
• Print
• Email to a Friend
• Report Inappropriate Content

Same error for us.

The Certificate used on the ASA outside interface is from our own CA-server.

XP clients works just fine connecting with Anyconnect.

But when using Windows 7 we direct get the error » Unable to process response from . » and » Certificate validation failure «.

Could it be that the Anyconnect client can’t access the certstore correct on Windows 7 in certain circumstances?

Anyone recognise this?

Root cert for our domain and CA is in the certstore.

As a side note, the latest full IPSec client works great on Windows 7. This is also using computercerts from our CA.

The debug didn’t give that much on the ASA.

Attaching some selected errors from the Anyconnect part of the eventviever.

(Company info x’ed out below)

——————————
Function: ConnectMgr::processIfcData
File: .\ConnectMgr.cpp
Line: 2239
Certificate authentication requested from gateway, no valid certs found in users cert store.

Function: ConnectMgr::setPromptAttributes
File: .\ConnectMgr.cpp
Line: 3032
Invoked Function: setPromptAttributes
Return Code: -33554423 (0xFE000009)
Description: GLOBAL_ERROR_UNEXPECTED
Error text:
Certificate Validation Failure

Function: ConnectMgr::getNextClientCert
File: .\ConnectMgr.cpp
Line: 3605
Invoked Function: ConnectMgr :: getNextClientCert
Return Code: 0 (0x00000000)
Description: Subject Name: CN=MININT-0BJVK6E.xx.xxx.net
Common Name : MININT-0BJVK6E.xx.xxx.net
Domain :
Company :
Department :
Issuer Name : DC=net, DC=xxx, DC=xxx, CN=xxx

Function: ConnectMgr::processIfcData
File: .\ConnectMgr.cpp
Line: 1703
Invoked Function: ConnectMgr::processIfcData
Return Code: 12044 (0x00002F0C)
Description: A certificate is required to complete client authentication

Connection attempt failed. Please try again.