ASAを9.1.2⇒9.3.2、Anyconnectを3.1⇒4.1にアップグレードしたがcertificate validation failureと表示され接続できない

この質問は 進行中です
3月 30th, 2016
User Badges:

SSL-VPNの認証でcertificateとAAAの両方を利用している環境において、ASAを9.1.2から9.3.2に、Anyconnectを3.1から4.1にアップグレードしました。Hostscanも利用していたため、3.1から4.1へ。

アップデート完了後、クライアント上でAnyconnectが3.1から4.1へアップデートされましたが、再度接続を試みた際ユーザID/Passを入力する前に"certificate validation failure"と表示され、接続できなくなりました。

WebアクセスにおいてもSecureDesktopが走った後、ユーザID/Pass入力画面が現れ、入力しOKをクリックすると直後に"証明書の検証エラー"と表示されます。

Anyconnectを3.1に戻すと問題無く接続でき、Webアクセスは依然として同じ現象で接続できない状態となっています。

以下のスレッドと非常に酷似した現象です。

https://supportforums.cisco.com/discussion/12473396/anyconnect-certifica...

上記スレッドで言っているdebugログでも同様の内容が得られており、スレッド作成者が解決に至ったかは不明ですが、トラストポイントを入れ直すということでうまくいったとのコメントもあります。


切り分けの際にBothの設定をあえてAAAのみにした場合は問題無いため、Certificateの部分でうまくいっていないようです。


同様の現象を経験された方がおりましたら、解決方法をご教示いただけると幸いです。

I have this problem too.
得票数:0
Loading.
hamburger14 2016/04/08 - 08:39
User Badges:

こんにちは、挙げられたスレッドではやり取りが込み合っていますが、当初ポストした方がどうやって解決したかどうかは不明のようですね。。"certificate validation failure" は、ASA が証明書の検証に失敗したときだけでなく、AnyConnect Client が証明書を取り出せなかったときにも出ますので、どちらの問題かを切り分けたほうがよいです。特に、ASA を 9.1.2 のままにして、AnyConnect を 3.1 -> 4.1 とすることで、この問題が起きるなら、 クライアント証明書とDART情報を揃えてメーカーに相談されるのがよいと思います。

アクション

このディスカッションについて