シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
告知
シスコ サポート コミュニティへようこそ!あなたの ご意見 をお聞かせください。
New Member

Clientless VPNからのhttpsアクセスについて(Trusted Certificate Pool)

こんにちは

CiscoASA 5515X + OS:9.1(6.11) + AnyConnect 3.13015でユーザーにSSL-VPNサービスを提供している者です。

Clientless SSL-VPN(WebVPN)からの、httpsアクセスでの証明書について質問があります。
ご回答いただけますでしょうか。

■環境
Clientless VPNでログイン後、httpsでWebアクセスします。
アクセス先は、外部のサイトです。(マイクロソフトのSharePoint)

ユーザーはClientless VPNでログイン後
→ポータルに設定したブックマーク(URLのリンク)をクリック
→ASA5515XのLAN側インターフェースがhttpsアクセス元となり、別のFWからインターネットに出て、SharePointにアクセスします。

ユーザーの運用上、
・接続先がマイクロソフトであっても、VPN接続からのアクセスとしたいです。
・また、AnyConnect(Full Tunnel)ではなく、Clientless SSL-VPN(WebVPN)からのアクセスを確保したいです。

アクセスすると証明書に関する警告が出ます。(添付ファイル参照)
警告を無視して続行しても、画面が表示されません。


■質問内容
SharePointのサイトに関する、ルート証明書と中間証明書を個別に、または、つなぎ合わせたもの(Certificate Bundle)を用意して、ASDM→Configuration > Remote Access VPN > Certificate Management > Trusted Certificate Poolでインポートすることで、問題を解決しようとしたのですが、うまくいきません。
どなたか、原因と対処の方法をお教えいただけますでしょうか。

1. Import Bundleダイアログボックスで、Continue to import the bundle if signature validation fails or can't be performedのチェックをはずしてインポートを試みると、エラーメッセージが出て失敗します。
「Error while reading specified file
  The certificate bundle cannot be imported」

2. 上記のチェックをいれてインポートすると成功します。
  インポートした各証明書の情報は問題なく表示されています。(Issued to, Issued by, Fingerprint, Expire Date, Usage)
  しかし、httpsアクセスすると、やはり証明書に関する警告メッセージが出ます。
  ただし、作業前と異なり、警告を無視して続行すると、アクセスできます。(SharePointのログイン画面が表示されます。)
  この時の、ログメッセージを添付します。(No suitable trustpoints found. Certificate validation failed.といったログが出ています。)
 

上記の1, 2, いずれも原因は、TrustPointの関連付けがないことが原因と思われます。
TrustPointと関連付けをおこなうための、コマンド/ASDM上の設定画面をお知らせいただけますでしょうか。
 
■Certificate Bundle作成について
VPNを使わずに直接、対象のURLにアクセスして、証明書のチェーン構造を確認します。
ルート証明書:発行先が"VeriSign Class 3 Public Primary Certification Authority - G5"であることを確認し
              パソコンの証明書管理ツール(certmgr.msc)から該当のものをエクスポートします。
中間証明書:  発行先が"Symantec Class 3 EV SSL CA - G3"であることを確認
              シマンテックのサポートサイト→証明書のダウンロードサイトから該当のものをダウンロード
              ダウンロードサイト:https://knowledge.symantec.com/support/ssl-certificates-support/index?page=content&actp=CROSSLINK&id=INFO2044

上記の各証明書を、PEM形式でエクスポート/ダウンロードします。(-----BEGIN CERTIFICATE-----で始まり、-----END CERTIFICATE-----で終わるもの)
正しいものであるかの確認は、発行先の名称、シリアル番号、拇印、有効期間にて行いました。

用意したルート証明書と中間証明書をテキストエディタでつなぎ合わせて、Certificate Bundleを作成しました。
(参考までに添付します。)

ただこれでは、シスコフォーマットのCertificate bundleになっていないと思われます。
例えば、コマンドリファレンスに以下の記載がありました。
http://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/A-H/cmdref1/c5.html
のcrypto ca trustpool importの項より抜粋
-------------------------------------------------
The possible interactive warnings are:
   ・ Cisco bundle format with invalid signature
   ・ Non-cisco bundle format
   ・ Cisco bundle format with valid signature
-------------------------------------------------


■補足
Clientless VPN接続時のブラウザには、IE 11を使用しています。

1 件の受理された解決策

受理された解決策
Cisco Employee

お世話になります

お世話になります。確かに添付の証明書を使用すると同じエラーが再現しました。バンドル(pkcs#7)、または単体で1つずつインポートしても同じ結果でした。しかしインポート後のステータスは Trustpool に正しく格納されており、特に問題なさそうに見えます。いただいたログの出力は、インポートしたCAとは異なる Issuer の証明書を検証しようとしているログとなっている等、全容がまだ完全に掴めていない部分もあります。詳細調査を要する内容となりますので、TAC までお問い合わせいただけますでしょうか。調査方法は別途検討が必要ですが、一次調査資料として以下をいただければと思います。

Sharepoint へアクセスを行う前、警告発生後に以下を各1回
debug menu webvpn 214 count

警告発生後に以下を各1回
show tech-support
show vpn-sessiondb detail webvpn
show crypto ca trustpool detail

Syslog
Informational level + 以下の debug
 - debug webvpn session 10
 - debug crypto ca trustpool

※ syslog で debug も取得する場合は、logging debug-trace を有効にしてください。
※ logging message 710001 level informational を設定すれば informational level + debug で取得可能です。

IE11 をご利用とのことでしたが、現在発生中の問題をサポートするため、ASA 9.1 がサポートする OS、ブラウザ、SharePointのバージョンが合っているかを、事前にご確認をいただけますようお願いいたします。

ASA Release 9.1 supports SSL VPN sessions originating from the following OSs and browsers:
http://www.cisco.com/c/en/us/td/docs/security/asa/compatibility/asa-vpn-...

Enterprise Applications Supported
The ASA 9.1 clientless SSL VPN core rewriter has been verified with the following applications:
Microsoft SharePoint 2003, 2007 and 2010
http://www.cisco.com/c/en/us/td/docs/security/asa/compatibility/asa-vpn-...

2 件の返信
Cisco Employee

お世話になります

お世話になります。確かに添付の証明書を使用すると同じエラーが再現しました。バンドル(pkcs#7)、または単体で1つずつインポートしても同じ結果でした。しかしインポート後のステータスは Trustpool に正しく格納されており、特に問題なさそうに見えます。いただいたログの出力は、インポートしたCAとは異なる Issuer の証明書を検証しようとしているログとなっている等、全容がまだ完全に掴めていない部分もあります。詳細調査を要する内容となりますので、TAC までお問い合わせいただけますでしょうか。調査方法は別途検討が必要ですが、一次調査資料として以下をいただければと思います。

Sharepoint へアクセスを行う前、警告発生後に以下を各1回
debug menu webvpn 214 count

警告発生後に以下を各1回
show tech-support
show vpn-sessiondb detail webvpn
show crypto ca trustpool detail

Syslog
Informational level + 以下の debug
 - debug webvpn session 10
 - debug crypto ca trustpool

※ syslog で debug も取得する場合は、logging debug-trace を有効にしてください。
※ logging message 710001 level informational を設定すれば informational level + debug で取得可能です。

IE11 をご利用とのことでしたが、現在発生中の問題をサポートするため、ASA 9.1 がサポートする OS、ブラウザ、SharePointのバージョンが合っているかを、事前にご確認をいただけますようお願いいたします。

ASA Release 9.1 supports SSL VPN sessions originating from the following OSs and browsers:
http://www.cisco.com/c/en/us/td/docs/security/asa/compatibility/asa-vpn-...

Enterprise Applications Supported
The ASA 9.1 clientless SSL VPN core rewriter has been verified with the following applications:
Microsoft SharePoint 2003, 2007 and 2010
http://www.cisco.com/c/en/us/td/docs/security/asa/compatibility/asa-vpn-...

New Member

Shinpei Kono 様

Shinpei Kono 様

お世話になっております。
だいぶ前に回答いただいていましたが、こちらからの返信が遅くなり申し訳ありません。

TACへの問い合わせとのことですが、残念ながら弊社はシスコ様へサービスリクエストをあげられる契約ではありません。
そのため、記載いただいたコマンドを使い、継続して調査する予定です。

詳しい調査方法のご提示、ありがとうございます。

111
閲覧回数
0
いいね!
2
返信