Сообщения без ответов | Активные темы Текущее время: 18 июл 2018, 02:14



Ответить на тему  [ Сообщений: 6 ] 
аутентификация клиентов AnyConnect по сертификатам 
Автор Сообщение

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 10
Cisco Adaptive Security Appliance Software Version 8.4(2)
Делаю аутентификацию клиентов AnyConnect по сертификатам:

tunnel-group ConnectWEBVPNGroup webvpn-attributes
authentication aaa certificate

Всё работает, пользователя пускает. Отзываю сертификат:

Статус Revoked:

Username: test
Renewal allowed until: Not Allowed
Number of times user notified: 0
PKCS12 file stored until: 02:26:57 MSK/MDD Sun Oct 9 2011
Certificates Issued:
serial: 0x6
issued: 02:26:57 MSK/MDD Sat Oct 8 2011
expired: 02:26:57 MSK/MDD Mon Oct 4 2021
status: Revoked at 11:51:12 MSK/MDD Sun Oct 9 2011

пользователя ASA продолжает пускать по этому сертификату.
Как такое может быть ?


09 окт 2011, 11:42
Профиль

Зарегистрирован: 04 июн 2009, 23:52
Сообщения: 274
Crl опубликовали, а аса про них знает? Проверка crl должна быть включена


10 окт 2011, 07:25
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 10
Цитата:
Crl опубликовали, а аса про них знает? Проверка crl должна быть включена


сертификат присутствует в списке отозванных:
sh crypto ca server crl

Certificate Revocation List:
Issuer: cn=xxx.xxx.ru
This Update: 04:53:09 MSK/MDD Oct 10 2011
Next Update: 10:53:09 MSK/MDD Oct 10 2011
Number of CRL entries: 7
CRL size: 500 bytes
Revoked Certificates:
Serial Number: 0x06
Revocation Date: 11:51:12 MSK/MDD Oct 9 2011

Я уже не знаю куда и смотреть :-( Подскажете, где ещё нужно указать, что нужно смотреть список отозванных сертификатов ?

crypto ca trustpoint LOCAL-CA-SERVER
keypair LOCAL-CA-SERVER
crl configure
crypto ca server
lifetime ca-certificate 3649
lifetime certificate 3649
keysize 2048
keysize server 2048

webvpn
enable outside
csd image disk0:/csd_3.5.841-k9.pkg
csd enable
anyconnect image disk0:/anyconnect-win-3.0.3054-k9.pkg 1
anyconnect enable
tunnel-group-list enable
onscreen-keyboard all

group-policy GroupPolicyConnect internal
group-policy GroupPolicyConnect attributes
wins-server none
vpn-idle-timeout 10
vpn-session-timeout 240
vpn-filter value ACL_AnyConn
vpn-tunnel-protocol ikev2 ssl-client
group-lock value ConnectWEBVPNGroup
webvpn


tunnel-group ConnectWEBVPNGroup type remote-access
tunnel-group ConnectWEBVPNGroup general-attributes
address-pool vpnclients
authentication-server-group RADIUS1
default-group-policy GroupPolicyConnect
tunnel-group ConnectWEBVPNGroup webvpn-attributes
authentication aaa certificate
group-alias VPN enable
group-url https://sss/vpn enable
without-csd


если убрать ааа, оставить только сертификаты - authentication certificate - так же прекрасно пускает на отозванном сертификате :-(


10 окт 2011, 09:55
Профиль

Зарегистрирован: 04 июн 2009, 23:52
Сообщения: 274
http://www.cisco.com/en/US/docs/securit ... #wp1059340

в трастпоинте попробуйте указать
revocation-check crl

P.S. заметил, что используете local ca. Возникает вопрос - куда цисковский CA выкладывает списки CRL? Я сам с такой конфигурацией не работал, у меня CA был внешний, списки публиковались в LDAP каталог, все работало.


10 окт 2011, 12:30
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 10
Цитата:
в трастпоинте попробуйте указать
revocation-check crl


Помогло - спасибо большое, Вы очень меня выручили !


10 окт 2011, 13:53
Профиль

Зарегистрирован: 04 июн 2009, 23:52
Сообщения: 274
Рад что смог помочь :)


10 окт 2011, 14:16
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 6 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB