Anticisco
https://anticisco.ru/forum/

аутентификация клиентов AnyConnect по сертификатам
https://anticisco.ru/forum/viewtopic.php?f=8&t=2365
Страница 1 из 1

Автор:  1389 [ 09 окт 2011, 11:42 ]
Заголовок сообщения:  аутентификация клиентов AnyConnect по сертификатам

Cisco Adaptive Security Appliance Software Version 8.4(2)
Делаю аутентификацию клиентов AnyConnect по сертификатам:

tunnel-group ConnectWEBVPNGroup webvpn-attributes
authentication aaa certificate

Всё работает, пользователя пускает. Отзываю сертификат:

Статус Revoked:

Username: test
Renewal allowed until: Not Allowed
Number of times user notified: 0
PKCS12 file stored until: 02:26:57 MSK/MDD Sun Oct 9 2011
Certificates Issued:
serial: 0x6
issued: 02:26:57 MSK/MDD Sat Oct 8 2011
expired: 02:26:57 MSK/MDD Mon Oct 4 2021
status: Revoked at 11:51:12 MSK/MDD Sun Oct 9 2011

пользователя ASA продолжает пускать по этому сертификату.
Как такое может быть ?

Автор:  tsippa [ 10 окт 2011, 07:25 ]
Заголовок сообщения:  Re: аутентификация клиентов AnyConnect по сертификатам

Crl опубликовали, а аса про них знает? Проверка crl должна быть включена

Автор:  1389 [ 10 окт 2011, 09:55 ]
Заголовок сообщения:  Re: аутентификация клиентов AnyConnect по сертификатам

Цитата:
Crl опубликовали, а аса про них знает? Проверка crl должна быть включена


сертификат присутствует в списке отозванных:
sh crypto ca server crl

Certificate Revocation List:
Issuer: cn=xxx.xxx.ru
This Update: 04:53:09 MSK/MDD Oct 10 2011
Next Update: 10:53:09 MSK/MDD Oct 10 2011
Number of CRL entries: 7
CRL size: 500 bytes
Revoked Certificates:
Serial Number: 0x06
Revocation Date: 11:51:12 MSK/MDD Oct 9 2011

Я уже не знаю куда и смотреть :-( Подскажете, где ещё нужно указать, что нужно смотреть список отозванных сертификатов ?

crypto ca trustpoint LOCAL-CA-SERVER
keypair LOCAL-CA-SERVER
crl configure
crypto ca server
lifetime ca-certificate 3649
lifetime certificate 3649
keysize 2048
keysize server 2048

webvpn
enable outside
csd image disk0:/csd_3.5.841-k9.pkg
csd enable
anyconnect image disk0:/anyconnect-win-3.0.3054-k9.pkg 1
anyconnect enable
tunnel-group-list enable
onscreen-keyboard all

group-policy GroupPolicyConnect internal
group-policy GroupPolicyConnect attributes
wins-server none
vpn-idle-timeout 10
vpn-session-timeout 240
vpn-filter value ACL_AnyConn
vpn-tunnel-protocol ikev2 ssl-client
group-lock value ConnectWEBVPNGroup
webvpn


tunnel-group ConnectWEBVPNGroup type remote-access
tunnel-group ConnectWEBVPNGroup general-attributes
address-pool vpnclients
authentication-server-group RADIUS1
default-group-policy GroupPolicyConnect
tunnel-group ConnectWEBVPNGroup webvpn-attributes
authentication aaa certificate
group-alias VPN enable
group-url https://sss/vpn enable
without-csd


если убрать ааа, оставить только сертификаты - authentication certificate - так же прекрасно пускает на отозванном сертификате :-(

Автор:  tsippa [ 10 окт 2011, 12:30 ]
Заголовок сообщения:  Re: аутентификация клиентов AnyConnect по сертификатам

http://www.cisco.com/en/US/docs/securit ... #wp1059340

в трастпоинте попробуйте указать
revocation-check crl

P.S. заметил, что используете local ca. Возникает вопрос - куда цисковский CA выкладывает списки CRL? Я сам с такой конфигурацией не работал, у меня CA был внешний, списки публиковались в LDAP каталог, все работало.

Автор:  1389 [ 10 окт 2011, 13:53 ]
Заголовок сообщения:  Re: аутентификация клиентов AnyConnect по сертификатам

Цитата:
в трастпоинте попробуйте указать
revocation-check crl


Помогло - спасибо большое, Вы очень меня выручили !

Автор:  tsippa [ 10 окт 2011, 14:16 ]
Заголовок сообщения:  Re: аутентификация клиентов AnyConnect по сертификатам

Рад что смог помочь :)

Страница 1 из 1 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/