キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
告知
シスコ サポート コミュニティへようこそ!あなたの ご意見 をお聞かせください。
New Member

Security Warnning:Untrusted VPN Server Certificate の回避方法に関して

ASA 8.6(1) に anyconnect 3.1 を使用しVPN接続しています。

anyconnectで接続の際に「Security Warnning:Untrusted VPN Server Certificate!」が表示されるため「Always trust this VPN server and import the certificate」にチェックし、2回目以降は表示されないようにしていました。

しかし、ASAを再起動した後から、再度表示されるようになりました。

同じように「Always trust this VPN server and import the certificate」にチェックすると以降は表示されません。

そこでご教示ください。

1. ASAの再起動で表示されるようになるのは、仕様でしょうか。

2. ASAを再起動しても表示されないようにする方法がありますでしょうか。

よろしくお願い致します。

メッセージサンプル

タグ(1)
1 件の受理された解決策

受理された解決策

うえださん、こんにちわ。

うえださん、こんにちわ。

ASAは証明書を明示登録してない場合、再起動毎に自身で生成しなおしてたと思います。 ので、証明書を明示登録すれば解決すると思います。  証明書は、(基本有償ですが) 3rd partyのCAから発行するのが セキュリティ上もベストですが、ASAの自己証明書(別名:オレオレ証明書)で代用するのが簡単かと思います。

同様の事象は海外でもあるようです。

Untrusted VPN Server Blocked after a reload
https://supportforums.cisco.com/discussion/11917751/untrusted-vpn-server-blocked-after-reload

 
自己証明書(オレオレ証明書)の手動設定例ですが、以下が参考になると思います。

ASA の分割トンネリングで AnyConnect セキュアな機動性 クライアントを設定して下さい
http://www.cisco.com/cisco/web/support/JP/113/1130/1130058_119006-configure-anyconnect-00.html

 
Ciscoのサイトではないですが、以下サイトも理解の上で役立つと思います。

Cisco ASA Anyconnect Self Signed Certificate
https://networklessons.com/security/cisco-asa-anyconnect-self-signed-certificate/

[抜粋]
By default the Cisco ASA firewall has a self signed certificate that is regenerated every time you reboot it. This can be an issue when you are using SSL VPN as the web browser of your user will give a warning every time it sees an untrusted certificate. In another lesson where I explained how to configure anyconnect remote access VPN you can see these errors when the remote users connects to the ASA. To fix this problem we have two options:

・Purchase and install an SSL certificate on the ASA from a trusted CA.
・Generate a self signed SSL certificate on the ASA and export it to your user’s computer.


3rd PartyのCAから発行し 利用したい場合、その発行委託やサポートも含めCisco機器構築ベンダーさんに相談されるといいかもしれません。

2 件の返信

うえださん、こんにちわ。

うえださん、こんにちわ。

ASAは証明書を明示登録してない場合、再起動毎に自身で生成しなおしてたと思います。 ので、証明書を明示登録すれば解決すると思います。  証明書は、(基本有償ですが) 3rd partyのCAから発行するのが セキュリティ上もベストですが、ASAの自己証明書(別名:オレオレ証明書)で代用するのが簡単かと思います。

同様の事象は海外でもあるようです。

Untrusted VPN Server Blocked after a reload
https://supportforums.cisco.com/discussion/11917751/untrusted-vpn-server-blocked-after-reload

 
自己証明書(オレオレ証明書)の手動設定例ですが、以下が参考になると思います。

ASA の分割トンネリングで AnyConnect セキュアな機動性 クライアントを設定して下さい
http://www.cisco.com/cisco/web/support/JP/113/1130/1130058_119006-configure-anyconnect-00.html

 
Ciscoのサイトではないですが、以下サイトも理解の上で役立つと思います。

Cisco ASA Anyconnect Self Signed Certificate
https://networklessons.com/security/cisco-asa-anyconnect-self-signed-certificate/

[抜粋]
By default the Cisco ASA firewall has a self signed certificate that is regenerated every time you reboot it. This can be an issue when you are using SSL VPN as the web browser of your user will give a warning every time it sees an untrusted certificate. In another lesson where I explained how to configure anyconnect remote access VPN you can see these errors when the remote users connects to the ASA. To fix this problem we have two options:

・Purchase and install an SSL certificate on the ASA from a trusted CA.
・Generate a self signed SSL certificate on the ASA and export it to your user’s computer.


3rd PartyのCAから発行し 利用したい場合、その発行委託やサポートも含めCisco機器構築ベンダーさんに相談されるといいかもしれません。

New Member

むらなかさん

むらなかさん

ありがとうございます。大変助かります。

ご案内いただきましたサイトを参照し対応します。

138
閲覧回数
0
いいね!
2
返信