- Как импортировать сертификаты в приложение Cisco AnyConnect для iPhone?
- Cisco anyconnect не видит сертификат iphone
- Спрашивающий
- Вопрос
- Error Messages on AnyConnect for Apple iOS Devices
- Available Languages
- Download Options
- Contents
- Introduction
- Prerequisites
- Requirements
- Components Used
- Conventions
- Error Messages
- Licensing Issue
- Solution
- Certificate Authentication Issue
- Solution
- Address Assignment Issue
- Solution
- Group URL Issue
- Importing User Certificate in new iOS Cisco AnyConnect App #838
- Comments
- fridaynext commented Jul 26, 2017
- Expected behavior: Save user certificate in iOS Cisco AnyConnect App
- Actual Behavior: Cannot import user certificates (to AnyConnect App) downloaded from Safari or Mail Client
- Steps to Reproduce: Connect to a streisand VPN, disconnect, and reconnect — always asks for login credentials — won’t save certificates.
- Additional Details:
- Cisco anyconnect не видит сертификат iphone
- Запрос и установка сертификатов
- Корневой сертификат
- Сертификат для ASA
- Настройка Cisco ASA
- Настройка NPS сервера
Как импортировать сертификаты в приложение Cisco AnyConnect для iPhone?
Мошенничество в импортно-экспортном бизнесе
Для подключения к частной сети соединение должно иметь IKE RSA — IPSEC. В настройках VPN-подключения по умолчанию, которые есть в настройках iPhone, этого нет. У приложения Cisco AnyConnect есть эта опция, но цифровые сертификаты, которые видны в VPN по умолчанию, не видны в приложении AnyConnect. Также при импорте сертификата в приложении AnyConnect запрашивается URL-адрес вместо открытия файлового браузера.
Как установить сертификат, чтобы его обнаружило приложение AnyConnect
Редактировать: После долгих поисков я обнаружил, что сертификаты, обнаруженные Cisco AnyConnect, должны быть в шаблоне SSL, а не в другом шаблоне. Итак, как мне преобразовать имеющийся у меня сертификат p12 в шаблонный сертификат SSL.
- Вам следует установить Cisco Legacy AnyConnect.
Самый простой способ — отправить сертификаты на свой iphone по электронной почте и установить оттуда.
Затем вы свяжете сертификат в Cisco AnyConnect:
- Я сделал это, но сертификат не отображается в разделе «Дополнительно»> «Сертификат». Я импортировал сертификат p12. Но тот же сертификат отображается в настройке VPN по умолчанию, которая поставляется с телефоном.
Для приложения Cisco Any Connection на iOS существует ограничение. Определенный сертификат не будет виден. Однако, если сертификат имеет KU цифровой подписи, он должен появиться.
Вы можете проверить следующую команду, чтобы сбросить сертификат:
Источник
Cisco anyconnect не видит сертификат iphone
Этот форум закрыт. Спасибо за участие!
Спрашивающий
Вопрос
После апгрейда с Windows 7 до Windows 8 я, как и многие другие пользователи, столкнулся с проблемой подключения к офису через Cisco VPN Client. В моём случае под Windows 7 был установлен Cisco AnyConnect 2.5.6005, который работал без нареканий.
После апгрейда система сообщила, что AnyConnect требуется переустановить, но переустановка мне не помогла. Возникала ошибка Failed to enable Virtual Adapter. Симптомы были схожими, как описано в статье
Я всё же не стал ничего ковырять в системе и решил просто скачать последнюю версию Cisco AnyConnect c сайта cisco.com. На данный момент последняя версия 3.1.01065.
Но тут возникли другие проблемы. Cisco AnyConnect не видит SSL сертификат VPN сервера, настроенного на Cisco ASA 5510. Выдаёт следующее сообщение «No valid certificates available for authentication».
Сертификат для Cisco ASA 5510 выдавался нашим корпоративным центром сертификации по шаблону «WebServer». Этот сертификат, а также сертификат самого центра сертификации я импортировал в Доверенные корневые центры сертификации через консоль certmgr.msc. В списке сертификатов я их вижу и оба они действительные.
Но есть одно хитрое НО. Дело в том, что, если посмотреть список сертификатов через свойства обозревателя Internet Explorer (в закладке «Содержание» — «Сертификаты»), то почему-то сертификат Cisco ASA не отображается в списке Доверенных корневых центрах сертификации, как буд-то его нет в системе, а если открыть certmgr.msc, то там он есть! Чудеса. Сертификат от самого центра сертификации присутствует и там и тут.
Есть предположение, что Cisco AnyConnect смотрит сертификаты через свойства обозревателя и, не обнаруживая его там, выдаёт ошибку «No valid certificates available for authentication». Хотя повторюсь, что на Windows 7 никаких проблем с сертификатами не было.
Как заставить Cisco AnyConnect всё таки увидить сертификат?
Тот же самый вопрос, который я задавал сначала там
Источник
Error Messages on AnyConnect for Apple iOS Devices
Available Languages
Download Options
Contents
Introduction
This document describes different error messages generated when using the Cisco AnyConnect VPN Client on Apple iPad devices. Corresponding resolutions required in order to eliminate those error messages are also included.
Prerequisites
Requirements
There are no specific requirements for this document.
Components Used
The information in this document is based on these software and hardware versions:
Cisco AnyConnect Secure Mobility Client 2.5.x for Apple iOS and later
Cisco ASA Security Appliance that runs software version 8.2 and later
Apple iOS 4.x and later
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Conventions
Refer to Cisco Technical Tips Conventions for more information on document conventions.
Error Messages
This section provides examples of error messages and their respective solutions.
Licensing Issue
This error message is received on the iPad client when trying to launch the AnyConnect application:
Solution
You need to have the required license in order to use the AnyConnect VPN Client on iPad clients. Refer to this CLI snippet from the ASA show version command:
Provide details like «PAK number» and «Serial number of the device» at the Cisco Licensing Page (registered customers only) in order to obtain the license. You could also contact Cisco Technical Support or send an e-mail to licensing@cisco.com.
Certificate Authentication Issue
This error log message is received on the Cisco ASA:
%ASA-6-725007: SSL session with client outside:XX.YY.ZZ.ZZ/51249 terminated.
CERT-C: E ../cert-c/source/certobj.c(719) : Error #73ch
CRYPTO_PKI: can not set ca cert object (0x73c)
These error messages are received on the iPad client application:
Solution
The client certificate authentication is failing and the Cisco ASA can parse some certificate extensions successfully, but cannot validate the client certificate. In order to resolve this issue, configure the CA on the ASA and enroll the iPad. Once complete, you should connect successfully using the client certificate.
Address Assignment Issue
This error message is received when trying to connect to an ASA from an iPad AnyConnect Client.
Solution
Verify that the tunnel-group has a valid address-pool/dhcp server and that there are available addresses in that pool.
Group URL Issue
This error message is received while trying to connect:
Источник
Importing User Certificate in new iOS Cisco AnyConnect App #838
Comments
fridaynext commented Jul 26, 2017
Expected behavior: Save user certificate in iOS Cisco AnyConnect App
Actual Behavior: Cannot import user certificates (to AnyConnect App) downloaded from Safari or Mail Client
Steps to Reproduce: Connect to a streisand VPN, disconnect, and reconnect — always asks for login credentials — won’t save certificates.
Additional Details:
Cisco is phasing out the AnyConnect app that’s linked to from the Streisand docs, and they’re moving to a new app for the iOS 11 framework, and they say you can no longer import certificates into their app that were downloaded from Safari or email client. Here’s their exact statement:
Unfortuantely this is a limitation in the newer OS framework. Random certificates imported via email or Safari are not available to us. We can access certificates deployed via EMM for our app, SCEP from AnyConnect or URL import from AnyConnect.
I’ve tried to research what ‘EMM’ and ‘SCEP’ are, and I’ve also found these docs which talk about administering an AnyConnect server, but I tried to build a URL like the one suggested there (i.e. anyconnect:[//]import. etc), and I still get the error:
Unable to import a certificate. Please check the URL.
Is there another way to import a certificate to my iPhone that will allow it to be used with the new Cisco AnyConnect 4.0.7075 iOS app?
The text was updated successfully, but these errors were encountered:
Источник
Cisco anyconnect не видит сертификат iphone
Предварительные требования:
- Домен с установленным и настроенным УЦ типа Standalone, т.к потребуется выдавать сертификат по запросу с ASA, версия Enterprise не может выдавать сертификат без существующего шаблона.
- Установленный и настроенный Cisco ASA.
- Развернутая и настроенная система Indeed AM с компонентом Indeed AM NPS Radius.
- Токен с установленным валидным сертификатом.
Запрос и установка сертификатов
Корневой сертификат
- Для аутентификации с использованием сертификатов потребуется экспортировать корневой сертификат домена на ASA. Откройте менеджер управления УЦ. Нажмите правой кнопкой мыши по УЦ и выберете “ Properties ”.
- На вкладке “ General ” нажмите “ View Certificate ”.
- В окне “ Certificate ” выберете вкладку “ Details ” и нажмите “ Copy to File. ”.
- Выберете формат “ Base-64 ” и сохраните в файл.
- Откройте ASDM и выберите «Configuration»→»Device Management»→»Certificate Management»→»CA Certificates»→»Add».
- Выберете “ Install from a file ”, нажмите “ Browse ” и выберете корневой сертификат УЦ.
Сертификат для ASA
- Откройте ASDM и выберите «Configuration»→»Device Management»→»Certificate Management»→»Identity Certificates»→»Add» .
- Выберете “ Add a new identity certificate ” и нажмите “ Add Certificate ”.
- Укажите путь для сохранения файла запроса и нажмите “ ОК ”.
- Откройте менеджер управления УЦ. Нажмите правой кнопкой мыши по УЦ -> All Tasks -> Submit new request.
- Выберете файл запроса сертификата для ASA.
- Перейдите в раздел «Pending requests», нажмите правой кнопкой мыши по заявке и выберете «All Tasks»→»Issue».
- Перейдите в раздел «Issued Certificates»и выберете выданный сертификат для ASA.
- В окне “Certificate” выберете вкладку “ Details ” и нажмите “ Copy to File. ”.
- Выберете формат “ Base-64 ” и сохраните в файл.
- Откройте ASDM «Configuration»→»Device Management»→»Certificate Management»→»Identity Certificates», выберите созданный запрос и нажмите » Install «.
- Выберете файл сертификата и нажмите “ InstallCertificate ”.
- Нажмите “ Apply ”, чтобы сохранить изменения.
Настройка Cisco ASA
- Откройте ASDM «Configuration»→»Remote access VPN»→»AAA/Local Users»→»AAA Server Groups» и нажмите “Add”.
- В окне “ Add AAA Server Group ” укажите:
- AAA Server Group — Произвольное название для группы.
- Protocol — Radius
- Нажмите “ OK ”.
- Для созданной группы в блоке “ Servers in the Selected Group ” нажмите “ Add ”.
- Укажите данные для подключения к серверу с ролью NPS.
- Откройте ASDM «Configuration»→»Remote access VPN»→»Network client Access»→»AnyConnect Connection Profiles»
- Установите параметр » Enable Cisco AnyConnect VPN Client access on the interfaces selected in the table below » (После включения потребуется добавить пакеты с AnyConnect формата *.pkg ). Также необходимо разрешить подключение через входной интерфейс.
- Для профиля “DefaultWEBVPNGroup” установите опцию SSL Enabled и нажмите “Edit”.
- В поле “ Method ” выберете “ AAA and certificate ”.
- В поле “ AAA Server Group ” выберете созданную ранее группу для Radius.
- В поле “ DNS Servers “ укажите Ip адрес DNS сервера и нажмите “ OK ”.
- Нажмите “ Apply ” чтобы применить изменения.
Настройка NPS сервера
В данной инструкции подразумевается, что в инфраструктуре есть NPS сервер с установленным и настроенным компонентом Indeed AM NPS Radius.
Для аутентификации должны использоваться и указываться провайдеры поддерживающиеся в сценарии с 1FA.
- Откройте оснастку NPS и выберете “ Connection Request Policies ”.
- Откройте основную используемую политику.
- Откройте вкладку “ Settings ”, выберете “ Authentication ” и установите параметр “ Accept users without validating credentials ”. Внимание! У всех пользователей должны быть обучены аутентификаторы. В данном сценарии отключена проверка кредов на стороне Radius и осуществляется проверка только OTP пользователя на Indeed AM Server
- Сохраните настройки и перезапустите службу NPS.
Источник