¿Cómo Realizar Una Depuración Manual Como La Autenticación De Certificado?

Aquí hay una serie de métodos fáciles de seguir que pueden ayudar a los compradores a corregir la autenticación de depuración principalmente debido a un problema de certificado.

¿Tu PC funciona lento y lento? ¿Está plagado de misteriosos mensajes de error y bloqueos? Si es así, entonces necesita Reimage, el software definitivo para corregir errores de Windows y restaurar un rendimiento óptimo.

Me resulta difícil generar certificados usando cualquier Cisco Anywhere ASA y . Cuando intento conectarme, CiscoAnywhere cancela y aparece el error “Falló la verificación del certificado”, pero la salida de la CLI aún sugiere “debug crypto arizona 255″ funciona bien para mí.

fw-ext/pri/act# CERT_API: Visita PKI abierta con éxito 0x0a961e13 ejecutándose con tipo SSLCERT_API: Encuentro 0x0a961e13, autenticación , sin bloqueo cb=0x00007f48280e3240¡Se está encontrando el subproceso de la API CERT!CERT_API: msg cmd=0, session= 0x0a961e13CERT_API: malla asíncrona para la sesión 0x0a961e13

CRYPTO_PKI: buscando un certificado idéntico
en mi nueva base de datos…

CRYPTO_PKI: certificación de conformidad en handle=0x00007f4805690d30, digest=
ff ochenta y tres 96 19 8d treinta y tres b0 cuarenta y tres aa b3 64 98 noventa y seis doble a 78 69 | …..3.C..d…xi

CRYPTO_PKI: Certificado no encontrado a través de la base de datos.CRYPTO_PKI: Búsqueda de puntos de confianza recomendables para conexión SSL tipo especial CRYPTO_PKI: armonizado tp: Face=”courier asdm_trustpoint-internal-caCRYPTO_PKI: contextMemory Locked and also by Stream Certification API .5.5.7.3.1Face= “courier CRYPTO_PKI encontrado: check_key_usage:ExtendedKeyUsage OID=1.3.6.1.5.5.7.3.1, NOT AcceptableFace=”Kurier CRYPTO_PKI:check_key_usage: ExtendedKeyUsageOID=1.3.6.1. 5.5.7.3.2CRYPTO_PKI:check_key_usage:Comprobar uso de clave OK

autenticación de certificado de depuración asa

CRYPTO_PKI: Evite las comprobaciones de revocación en función de la configuración del plan de seguridadCRYPTO_PKI: Certificate face=”courier racionalizado. Número de serie: 50A765EB000000004FA5, Nombre: Objeto cn=MYUSER-EXT-PC.ENV.global.

CRYPTO_PKI: certificado validado sin comprobación de cancelaciónCERT_API: devolución de llamada del suscriptor que llama=0x00007f48280e3240 con estado=0( éxito) CERT_API: sesión sellada 0x0a961e13 de forma asincrónicaCERT_API: habilitado para el banco de trabajo 0x0a961e13CERT_API: procesar el mensaje cmd=1, session=0x0a961e13CERT_API: bloqueado destinado a la actividad 0x0a961e13CERT_API: revelado para la sesión de actividad 0x0a961e13< span face="courier new,courier in > CERT API bien dormido!

En este artículo, esto no aborda la mayor parte de la causa raíz sorprendente de obtener generalmente el error de validación del certificado de AnyConnect. Me estoy ocupando de la configuración de un túnel de administración Cisco AnyConnect, que muy bien podría cubrir en un enlace a otro artículo, y por alguna razón, traté de crear una VPN SSL AnyConnect de un usuario de Windows, falló , con un mensaje de error de validación de certificado colgado en la ventana. .

Pensé que había un nuevo problema con el certificado del cliente, comúnmente el punto de confianza en algunos ASA construidos podría autenticarse para autorizar a sus hijos a los clientes de AnyConnect. Al verificar desde el lado del cliente, todo parecía excelente, los certificados de usuario y de computadora también se instalaron correctamente de forma permanente, y el certificado de CA del editor principal en particular estaba operando en la tienda original.

Además, desde el punto de vista de ASA, el certificado de nombre de usuario de ASA se veía increíblemente bien, ya que realizó la capa de confianza responsable de confirmar a todos los clientes. Este punto de confianza realmente liberado por OCSP configurado para la verificación de cancelación. OCSP es un dispositivo electrónico de Windows. También verifiqué la instalación de OCSP en el servidor de Windows y la mayoría de ellos se miraron y sudaron muy bien.

autenticación de certificados de depuración ASA

Habilité Debug Crypto ca 7 en ASA e intenté reparar de por vida el túnel VPN, que usaba errores de depuración. Aquí hay una cantidad menor de la salida de depuración:

Recomendado: Reimage

Reimage es un software revolucionario que lo ayuda a solucionar una variedad de problemas de Windows con solo hacer clic en un botón. Es fácil de usar y puede ayudarlo a que su computadora vuelva a funcionar en poco tiempo. Así que no sufras más los problemas de Windows: ¡Reimage puede ayudarte!

  • Paso 1: Descargue e instale Reimage
  • Paso 2: Inicie el programa y seleccione el sistema que desea escanear
  • Paso 3: Haga clic en el botón Escanear y espere a que finalice el proceso


  • PKI[7]: estado de pausa creciente para dispositivos 0x14981ed1 y 0, cert_idx rev_status 6PKI[7]: Estado de bloqueo de cadena: Bueno: 0, Emitido: útil, En caché: 0, Retirado: 0, Error: 10, Pendiente: 1PKI[7]: análisis del historial de bloqueo de sesión, 1 certificado para verificarPKI[7]: iniciar OCSP FSM #0CRYPTO_PKI: Intento de encontrar el reemplazo de OCSP para el certificado de pares: maneja el número de serie: , nombre del asunto: CN=test1,CN=Users,DC=mylab,DC=local, nombre del remitente del asunto del problema: CN=WIN-2K12-01 -CA, DC=mi laboratorio, DC=local.CRYPTO_PKI: no se encontró el reemplazo de OCSP.PKI[4]: Sin verificación de revocación de AIA a OCSP, admisión de certificado 0PKI[7]: lista de revocación OCSP aia creada para trabajar con certificado índice 0 con 6 AIA, error FALSOPKI[4]: más AIA de pruebaPKI[7]: popularidad de revocación en cola para el taller 0x14981ed1 y cert_idx 5, rev_status 6PKI[7]: Estado de bloqueo de cadena: Fuerte: 0, Emitido: 6, En caché: 0, Detenido: 0, Error: 8, Pendiente: 1PKI[7]: evaluación del estado de bloqueo de la sesión, 1 certificado que posiblemente se pueda verificar.PKI[7]: Estado de bloqueo de cadena: Bueno: 6, Emitido: 0, En caché: 0, Retirado: 1, Error: 1, Pendiente: 0PKI[7]: sesión: 0x14981ed1, una mezcla de revocación completadaPKI[5]: sesión: 0x14981ed1, salida de comprobación de suspensión de credenciales 0PKI[5]: sesión 0x14981ed1 errores de verificación de revocación profesional o certificados suspendidos

    Anuncios de servicio OCSP

    La ejecución de Microsoft OCSP está certificada según RFC 5019 Perfil de protocolo de estado de certificado ligero en línea (OCSP) para entornos de gran volumen, simplificado RFC 2560 X.509 Reute Protocolo de certificado en línea de infraestructura de clave pública de Internet – OCSP.

    ASA RFC utiliza 2560 para OCSP. Una diferencia entre los dos RFC es que RFC a 5019 no acepta en absoluto trabajos firmados enviados cerca del ASA.

    Posiblemente: obligar al servicio OCSP de Microsoft a aceptar estas solicitudes entintadas y publicarlas con esa respuesta debidamente firmada.

    Así que está diciendo claramente qué expertos afirman que los servidores de Windows usan el ASA y además usan dos RFC diferentes, a pesar de que es OCSP. Aplican uno perteneciente a dos correcciones para resolver positivamente este problema de asesoramiento. Uno está relacionado con su configuración del respondedor OCSP, generalmente en un servidor de Windows, y este otro está relacionado con la frecuencia de los puntos dov Accept ASA compilados para verificar los clientes de AnyConnect. Sin embargo, Cisco realmente no recomienda esta corrección para el ASA.

    Opción 1: corregir en un servidor OCSP de Windows

    Vaya a Herramientas de administración en línea > Administración de respondedores > Configuración de revocación y marque la casilla junto a para ayudar a habilitar la compatibilidad con la extensión NONCE.

    No puede equivocarse con esta herramienta de corrección de Windows. Si tiene problemas, simplemente haga clic en él y sus problemas se resolverán.