Anticisco :: Просмотр темы - аутентификация клиентов AnyConnect по сертификатам

Anticisco https://anticisco.ru/forum/

аутентификация клиентов AnyConnect по сертификатам https://anticisco.ru/forum/viewtopic.php?f=8&t=2365	Страница 1 из 1

Автор:	1389 [ 09 окт 2011, 11:42 ]
Заголовок сообщения:	аутентификация клиентов AnyConnect по сертификатам
Cisco Adaptive Security Appliance Software Version 8.4(2) Делаю аутентификацию клиентов AnyConnect по сертификатам: tunnel-group ConnectWEBVPNGroup webvpn-attributes authentication aaa certificate Всё работает, пользователя пускает. Отзываю сертификат: Статус Revoked: Username: test Renewal allowed until: Not Allowed Number of times user notified: 0 PKCS12 file stored until: 02:26:57 MSK/MDD Sun Oct 9 2011 Certificates Issued: serial: 0x6 issued: 02:26:57 MSK/MDD Sat Oct 8 2011 expired: 02:26:57 MSK/MDD Mon Oct 4 2021 status: Revoked at 11:51:12 MSK/MDD Sun Oct 9 2011 пользователя ASA продолжает пускать по этому сертификату. Как такое может быть ?

Автор:	tsippa [ 10 окт 2011, 07:25 ]
Заголовок сообщения:	Re: аутентификация клиентов AnyConnect по сертификатам
Crl опубликовали, а аса про них знает? Проверка crl должна быть включена

Автор:	1389 [ 10 окт 2011, 09:55 ]
Заголовок сообщения:	Re: аутентификация клиентов AnyConnect по сертификатам
Цитата: Crl опубликовали, а аса про них знает? Проверка crl должна быть включена сертификат присутствует в списке отозванных: sh crypto ca server crl Certificate Revocation List: Issuer: cn=xxx.xxx.ru This Update: 04:53:09 MSK/MDD Oct 10 2011 Next Update: 10:53:09 MSK/MDD Oct 10 2011 Number of CRL entries: 7 CRL size: 500 bytes Revoked Certificates: Serial Number: 0x06 Revocation Date: 11:51:12 MSK/MDD Oct 9 2011 Я уже не знаю куда и смотреть Подскажете, где ещё нужно указать, что нужно смотреть список отозванных сертификатов ? crypto ca trustpoint LOCAL-CA-SERVER keypair LOCAL-CA-SERVER crl configure crypto ca server lifetime ca-certificate 3649 lifetime certificate 3649 keysize 2048 keysize server 2048 webvpn enable outside csd image disk0:/csd_3.5.841-k9.pkg csd enable anyconnect image disk0:/anyconnect-win-3.0.3054-k9.pkg 1 anyconnect enable tunnel-group-list enable onscreen-keyboard all group-policy GroupPolicyConnect internal group-policy GroupPolicyConnect attributes wins-server none vpn-idle-timeout 10 vpn-session-timeout 240 vpn-filter value ACL_AnyConn vpn-tunnel-protocol ikev2 ssl-client group-lock value ConnectWEBVPNGroup webvpn tunnel-group ConnectWEBVPNGroup type remote-access tunnel-group ConnectWEBVPNGroup general-attributes address-pool vpnclients authentication-server-group RADIUS1 default-group-policy GroupPolicyConnect tunnel-group ConnectWEBVPNGroup webvpn-attributes authentication aaa certificate group-alias VPN enable group-url https://sss/vpn enable without-csd если убрать ааа, оставить только сертификаты - authentication certificate - так же прекрасно пускает на отозванном сертификате

Автор:	tsippa [ 10 окт 2011, 12:30 ]
Заголовок сообщения:	Re: аутентификация клиентов AnyConnect по сертификатам
http://www.cisco.com/en/US/docs/securit ... #wp1059340 в трастпоинте попробуйте указать revocation-check crl P.S. заметил, что используете local ca. Возникает вопрос - куда цисковский CA выкладывает списки CRL? Я сам с такой конфигурацией не работал, у меня CA был внешний, списки публиковались в LDAP каталог, все работало.

Автор:	1389 [ 10 окт 2011, 13:53 ]
Заголовок сообщения:	Re: аутентификация клиентов AnyConnect по сертификатам
Цитата: в трастпоинте попробуйте указать revocation-check crl Помогло - спасибо большое, Вы очень меня выручили !

Автор:	tsippa [ 10 окт 2011, 14:16 ]
Заголовок сообщения:	Re: аутентификация клиентов AnyConnect по сертификатам
Рад что смог помочь

Страница 1 из 1	Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/