Как правильно установить сертификат, выданный мне?

Я пробовал различные способы установки сертификата, но, похоже, он либо не рассматривается Linux, либо что-то еще не так.

Я получил .pfx чтобы иметь возможность подключаться к другому серверу через vpn (нужно использовать Cisco AnyConnect). Я попробовал преобразовать его в .pem , затем добавив этот файл в /usr/share/ca-certs (с созданием в нем нового каталога или просто его непосредственным подключением), а затем с помощью `update-ca-сертификатов. Я всегда получаю этот ответ:

 Updating certificates in /etc/ssl/certs... 0 added, 0 removed; done. Running hooks in /etc/ca-certificates/update.d.... 

Затем, пытаясь подключиться с помощью Cisco AnyConnect, вы получите эту ошибку: 'Certificate validation error

Единственный способ, которым мне удалось импортировать сертификат, был через firefox. Я импортировал его в Your Certificates .

Затем, снова попытавшись подключиться с помощью Cisco AnyConnect, это даст мне эту ошибку:

 The AnyConnect package on the secure gateway could not be located. You may be experiencing network connectivity issues. Please try connecting again. 

Затем я открыл импортированный сертификат в Firefox и увидел это сообщение:

could not verify this certificate because the issuer is not trusted .

Так что, отправляясь в Власти, я обнаружил тот, который выдал мне этот сертификат и отредактировал, чтобы ему было доверено тикать все варианты. Теперь он показывает, что он был проверен для сертификата клиента ssl, сертификата подписчика электронной почты, центра сертификации SSL, сертификата ответчика статуса.

Но все же, пытаясь подключиться с помощью cisco anyconnect, я получаю эту ошибку за то, что вы не нашли безопасный шлюз.

У меня нет никаких идей, что еще я могу сделать для решения этой проблемы.

Я также написал здесь другой связанный с этим вопрос. Это больше о правильной настройке vpn, и это касается правильной установки сертификата.

Ссылка на связанный с этим вопрос: https://askubuntu.com/questions/484096/setting-up-vpn-connection-with-cisco-anyconnect-the-anyconnect-package-on-the

PS Я использую Ubuntu 14.04

По-видимому, ошибочная ошибка. The AnyConnect package on the secure gateway could not be located... найден The AnyConnect package on the secure gateway could not be located... означает, что AnyConnect фактически использует сертификат, который вы хотели бы использовать.

Если ваша цель заключается в том, чтобы VPN-соединение работало, как ожидалось, это не проблема с правильной установкой вашего сертификата для AnyConnect.

Как заставить VPN-соединение фактически работать в этом случае , ниже ответа на ваш первоначальный вопрос.


Ответ на ваш вопрос:

AnyConnect проверяет различные места для файлов сертификатов, включая те, которые используются веб-браузерами.

Что усложняет проблему, так это то, что для проверки есть разные типы файлов сертификатов, и все они должны войти в каталоги, предназначенные для их вида для AnyConnect, чтобы их увидеть.

Чтобы вручную установить сертификат в том месте, где AnyConnect ожидает его поиска

В вашем случае сделайте следующее:

 openssl pkcs12 -in source.pfx -out exported.pem -nokeys openssl pkcs12 -in source.pfx -out exported.key -nocerts 

Используйте то же имя, начинающееся для .pem и .key .

Он попросит вас передать файл .pfx чтобы получить файлы .pem и .key .

Он попросит вас установить пропуск для файла .key . Должно быть приглашение повторного прохода и никаких ошибок. AnyConnect запросит этот пропуск после нажатия кнопки подключения, но перед показом полей входа / передачи для проверки подлинности подключения.

Либо в домашнем каталоге пользователя, либо в /opt создайте следующие разделы:

 .cisco/certificates/client .cisco/certificates/client/private 

Вы должны создать их вручную. Установщик AnyConnect создает только каталог /opt/.cisco/certificates/ca .

Поместите файл .pem в первый каталог, созданный вручную, и файл .key во втором.

Теперь AnyConnect должен иметь возможность использовать их, как ожидалось, при условии, что все каталоги и файлы имеют правильные права доступа.

Эти диски упоминаются где-то в документации Cisco ( создайте хранилище сертификатов PEM для Mac и Linux ).

Не удивляйтесь, увидев ту же ошибку. The AnyConnect package on the secure gateway could not be located... Читай ниже.


Как сделать VPN-соединение действительно работать так, как вы хотите:

В моем случае только с использованием OpenConnect с теми же ключевыми файлами, которые работали до сих пор:

Создайте .pem и .key как описано выше,

Делайте шаги 4 и 5 с этого сайта

которые:

 apt-get install network-manager-openconnect-gnome 

Откройте Netwok Connections , перейдите на вкладку VPN, нажмите new

Выберите Cisco AnyConnect Compatible VPN (openconnect)

Gateway: [ vpn.yourcompany.com ]

Пользовательский сертификат: [выберите ваш exported.pem]

Закрытый ключ: [выберите ваш exported.key]

И теперь попробуйте подключиться

(Через сетевой апплет, видимый рядом с часами на экране, должен работать просто отлично)

Он работал для меня на xubuntu 14.04


Почему AnyConnnect не работает, но OpenConnect?

Из /var/log/syslog Я обнаружил, что AnyConnect пытается загрузить что-то с сервера с другой стороны, но получает 404 error несколько раз и, таким образом, не работает:

(…) acvpnui (…) Description: CTRANSPORT_ERROR_HTTP_RETURNED_ERROR:The HTTP server returned an error code (>= 400) HTTP status code received 404

Это сообщение об ошибке означает, что AnyConnect пытается получить что-то с сервера с другой стороны после успешной аутентификации и отключается, потому что файл (видимо, необходим для его работы) недоступен.

Похоже, OpenConnect не нуждается в этом файле.

  • Как отключить параметр «Использовать шлюз по умолчанию для удаленных сетей» в Windows 10?
  • Избегайте корпоративных заблокированных URL-адресов, когда в Cisco VPN
  • FTP-сервер не работает, пока открыт сервер vpn. Маршрутизатор DD_WRT
  • VPN-соединение с VirtualBox
  • Как обеспечить доступ в Интернет только через VPN
  • Два маршрутизатора в одной подсети и VPN?
  • Может ли работодатель отслеживать использование IP-адресов на домашних компьютерах через VPN?
  • Туннелирование 4in6 (через OpenVPN?)
  • Как защитить соединение PPTP - Windows 7?
  • VPN: Проводят ли все трафик через VPN при входе в систему?
  • Прозрачный туннель между интерфейсами на удаленных хостах
  • Interesting Posts

    Ошибка Excel HRESULT: 0x800A03EC при попытке получить диапазон с именем ячейки

    Как использовать общий файл build.gradle через repository?

    Как отключить сглаживание шрифтов в Firefox, сохраняя при этом шрифт?

    Excel – Формулы, которые отображаются на нескольких листах?

    Ubuntu не запускает Xorg после обновления до 9.10

    Правый выравнивающий текст в android TextView

    Символы, разрешенные в параметре GET

    Измените сторону, которую текст появится на переключателе

    Как получить представление о содержании активности?

    Загрузите библиотеку тегов шаблонов Django для всех просмотров по умолчанию

    Как подавлять предупреждения в глобальном масштабе в R Script

    Является ли математика с плавающей запятой в C #? Может ли так быть?

    iPhone SDK: как вы загружаете видеофайлы в Справочник документов, а затем воспроизводите их?

    Сделать ulimits работать с start-stop-daemon

    Никакое соединение не может быть сделано, потому что целевая машина активно отказалась от него

    Давайте будем гением компьютера.