購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
投稿メッセージを作成する
8951
閲覧回数
0
いいね!
2
返信

Security Warnning:Untrusted VPN Server Certificate の回避方法に関して

解決策を見る
k.ueda
Level 1
Level 1

‎2016-08-19 09:54 PM

ASA 8.6(1) に anyconnect 3.1 を使用しVPN接続しています。

anyconnectで接続の際に「Security Warnning:Untrusted VPN Server Certificate!」が表示されるため「Always trust this VPN server and import the certificate」にチェックし、2回目以降は表示されないようにしていました。

しかし、ASAを再起動した後から、再度表示されるようになりました。

同じように「Always trust this VPN server and import the certificate」にチェックすると以降は表示されません。

そこでご教示ください。

1. ASAの再起動で表示されるようになるのは、仕様でしょうか。

2. ASAを再起動しても表示されないようにする方法がありますでしょうか。

よろしくお願い致します。

メッセージサンプル

0 いいね!
1 件の受理された解決策

受理された解決策

解決策を見る
Akira Muranaka
Level 8
Level 8

‎2016-08-21 10:55 AM

うえださん、こんにちわ。

ASAは証明書を明示登録してない場合、再起動毎に自身で生成しなおしてたと思います。 ので、証明書を明示登録すれば解決すると思います。  証明書は、(基本有償ですが) 3rd partyのCAから発行するのが セキュリティ上もベストですが、ASAの自己証明書(別名:オレオレ証明書)で代用するのが簡単かと思います。

同様の事象は海外でもあるようです。

Untrusted VPN Server Blocked after a reload
https://supportforums.cisco.com/discussion/11917751/untrusted-vpn-server-blocked-after-reload

 
自己証明書(オレオレ証明書)の手動設定例ですが、以下が参考になると思います。

ASA の分割トンネリングで AnyConnect セキュアな機動性 クライアントを設定して下さい
http://www.cisco.com/cisco/web/support/JP/113/1130/1130058_119006-configure-anyconnect-00.html

 
Ciscoのサイトではないですが、以下サイトも理解の上で役立つと思います。

Cisco ASA Anyconnect Self Signed Certificate
https://networklessons.com/security/cisco-asa-anyconnect-self-signed-certificate/

[抜粋]
By default the Cisco ASA firewall has a self signed certificate that is regenerated every time you reboot it. This can be an issue when you are using SSL VPN as the web browser of your user will give a warning every time it sees an untrusted certificate. In another lesson where I explained how to configure anyconnect remote access VPN you can see these errors when the remote users connects to the ASA. To fix this problem we have two options:

・Purchase and install an SSL certificate on the ASA from a trusted CA.
・Generate a self signed SSL certificate on the ASA and export it to your user’s computer.


3rd PartyのCAから発行し 利用したい場合、その発行委託やサポートも含めCisco機器構築ベンダーさんに相談されるといいかもしれません。

元の投稿で解決策を見る

0 いいね!
2件の返信2

解決策を見る
Akira Muranaka
Level 8
Level 8

‎2016-08-21 10:55 AM

うえださん、こんにちわ。

ASAは証明書を明示登録してない場合、再起動毎に自身で生成しなおしてたと思います。 ので、証明書を明示登録すれば解決すると思います。  証明書は、(基本有償ですが) 3rd partyのCAから発行するのが セキュリティ上もベストですが、ASAの自己証明書(別名:オレオレ証明書)で代用するのが簡単かと思います。

同様の事象は海外でもあるようです。

Untrusted VPN Server Blocked after a reload
https://supportforums.cisco.com/discussion/11917751/untrusted-vpn-server-blocked-after-reload

 
自己証明書(オレオレ証明書)の手動設定例ですが、以下が参考になると思います。

ASA の分割トンネリングで AnyConnect セキュアな機動性 クライアントを設定して下さい
http://www.cisco.com/cisco/web/support/JP/113/1130/1130058_119006-configure-anyconnect-00.html

 
Ciscoのサイトではないですが、以下サイトも理解の上で役立つと思います。

Cisco ASA Anyconnect Self Signed Certificate
https://networklessons.com/security/cisco-asa-anyconnect-self-signed-certificate/

[抜粋]
By default the Cisco ASA firewall has a self signed certificate that is regenerated every time you reboot it. This can be an issue when you are using SSL VPN as the web browser of your user will give a warning every time it sees an untrusted certificate. In another lesson where I explained how to configure anyconnect remote access VPN you can see these errors when the remote users connects to the ASA. To fix this problem we have two options:

・Purchase and install an SSL certificate on the ASA from a trusted CA.
・Generate a self signed SSL certificate on the ASA and export it to your user’s computer.


3rd PartyのCAから発行し 利用したい場合、その発行委託やサポートも含めCisco機器構築ベンダーさんに相談されるといいかもしれません。

0 いいね!

解決策を見る
k.ueda
Level 1
Level 1
Akira Muranakaに対する応答

‎2016-08-22 08:35 AM

むらなかさん

ありがとうございます。大変助かります。

ご案内いただきましたサイトを参照し対応します。

0 いいね!
Customers Also Viewed These Support Documents