Comment Aider à Gérer Le Débogage Comme L’authentification D’instrument ?

Voici quelques méthodes faciles à suivre qui peuvent vous aider à résoudre le problème de débogage de l’authentification en tant que problème d’enregistrement.

Votre PC est-il lent et lent? Est-il en proie à de mystérieux messages d'erreur et à des plantages ? Si tel est le cas, vous avez besoin de Reimage - le logiciel ultime pour corriger les erreurs Windows et restaurer des performances optimales.

J’essaie de pousser des certificats à l’aide de l’ASA ciscoanywhere et donc . Lorsque j’essaie de m’arrêter, CiscoAnywhere abandonne avec une erreur “Échec de la vérification du certificat”, mais le rendement de la CLI affiche toujours “debug crypto ca 255″ fonctionne bien sur moi.

fw-ext/pri/act# CERT_API : craquage réussi de la session PKI 0x0a961e13 en cours d’exécution avec le type SSLCERT_API : rencontre 0x0a961e13, autorisation , non bloquant cb=0x00007f48280e3240L’API CERT se réveille prudemment !CERT_API : msg cmd=0, session= 0x0a961e13CERT_API : verrouillage asynchrone pour le cours 0x0a961e13

CRYPTO_PKI : Recherche d’un certificat équivalent
dans ma base de données…

CRYPTO_PKI : certificat de conformité en ce qui concerne handle=0x00007f4805690d30, digest=
ff quatre-vingt-trois 96 19e 8d 33 b0 quarante-trois double a b3 64 98 96 double a 79 69 | …..3.C..d…xi

CRYPTO_PKI : Certificat introuvable dans la base de données.CRYPTO_PKI : Recherche de points de confiance appropriés en raison du type de connexion SSL CRYPTO_PKI : tp correspondant : Face=”courier asdm_trustpoint-internal-caCRYPTO_PKI : contextMemory Locked by Stream Certification API .5.5.7.3.1Face= “courier CRYPTO_PKI trouvé : check_key_usage:ExtendedKeyUsage OID=1.3.6.1.5.5.7.3.1, NOT AcceptableFace=”Kurier CRYPTO_PKI:check_key_usage : ExtendedKeyUsageOID=1.3.6.1. 5.5.7.3.2CRYPTO_PKI :check_key_usage :Vérifier que la clé porte bien

debug asa license authentication

CRYPTO_PKI : évitez les chèques de révocation en fonction de la configuration du plan de couvertureCRYPTO_PKI : certificat face=”courier” validé. Numéro de série : 50A765EB000000004FA5, Nom : Objet cn=MYUSER-EXT-PC.ENV.global.

CRYPTO_PKI : enregistrements validés sans contrôle de révocationCERT_API : demande aux professionnels de rappeler l’utilisateur=0x00007f48280e3240 avec le statut=0 (succès) CERT_API : fermer la leçon 0x0a961e13 de manière asynchroneCERT_API : activé pour obtenir l’atelier 0x0a961e13 CERT_API : message d’expérience cmd=1 , session=0x0a961e13CERT_API : verrouillé pour l’activité 0x0a961e13CERT_API : déverrouillé pour la période d’activité 0x0a961e13 L’API CERT dort prudemment !

Dans cet article, cela n’abordera pas le résultat final racine surprenant de l’obtention de l’erreur d’autorisation de certificat AnyConnect. J’étais en train de déterminer un tunnel de gestion Cisco AnyConnect, que je couvrirai dans un lien fiable vers un autre article, et pour obtenir une raison, lorsque j’ai essayé sur le marché de créer un VPN SSL AnyConnect comprenant un client Windows, cela a échoué, à partir d’un message d’erreur de validation de certificat affiché à l’écran. .

Je prévois qu’il y avait un problème avec le certificat client exact, sinon l’aspect de confiance sur certains ASA configurés pourrait vérifier pour les autoriser à AnyConnect vos clients. Lors de la vérification sur le dos du client, tout semblait correct, les certificats de l’utilisateur et simplement de l’ordinateur ont également été installés avec succès une fois pour toutes, et le certificat principal de l’autorité de certification de l’éditeur se trouvait dans le magasin approprié.

En outre, du point de vue de l’ASA, le certificat d’identité de l’ASA semblait terriblement bon, tout comme la strate de confiance responsable de l’authentification de tous les clients. Ce point de confiance est libéré par OCSP configuré pour la vérification de révocation. OCSP est devenu un appareil Windows. J’ai également analysé le paramètre OCSP sur ces serveurs Windows et la plupart d’entre eux ont réfléchi et travaillé finealo.

debug asa certificate authentication

J’ai activé Debug Crypto ca 7 sur l’ASA, puis j’ai essayé de réparer définitivement le tunnel VPN, qui a trouvé des erreurs de débogage. Voici un extrait de la sortie de débogage particulière :

Recommandé : Reimage

Reimage est un logiciel révolutionnaire qui vous aide à résoudre une variété de problèmes Windows d'un simple clic sur un bouton. Il est facile à utiliser et peut vous aider à remettre votre ordinateur en marche en un rien de temps. Alors ne souffrez plus des problèmes de Windows - Reimage peut vous aider !

  • Étape 1 : Téléchargez et installez Reimage
  • Étape 2 : Lancez le programme et sélectionnez le système que vous souhaitez analyser
  • Étape 3 : Cliquez sur le bouton Numériser et attendez la fin du processus


  • PKI[7] : état de pause en attente pour les lecteurs 0x14981ed1 et 0, cert_idx rev_status 6PKI[7] : État du verrou de chaîne : Bon : 0, Émis : 7, En cache : 0, Retiré : 0, Erreur : 8, En attente : 1PKI[7] : évaluation de l’historique des verrous d’activité, 1 certificat pouvant vérifierPKI[7] : démarrer OCSP FSM #0CRYPTO_PKI : Tentative de recherche d’un remplacement OCSP pour le certificat professionnel : numéro de série : , nom de l’industrie : CN=test1,CN=Users,DC=mylab,DC=local, nom de l’expéditeur du sujet : CN=WIN-2K12-01 – CA ,DC=monlab,DC=local.CRYPTO_PKI : remplacement OCSP probablement introuvable.PKI[4] : Pas d’AIA pour la recherche de révocation OCSP, entrée de certificat 0PKI[7] : liste de contrôle de révocation OCSP aia créée pour l’index de certificat 5 avec 6 AIA, erreur FALSEPKI[4] : beaucoup plus d’AIA à testerPKI[7] : intérêt de révocation en file d’attente pour la session 0x14981ed1 et cert_idx 20, rev_status 6PKI[7] : État du verrou de chaîne : Fort : 0, Émis : 0, En cache : 0, Arrêté : 0, Erreur : 0, En attente : 1PKI[7] : évaluation de l’état du verrouillage de l’entraînement, 1 certificat dans lequel il peut être vérifié.PKI[7] : État du verrou de chaîne : Bon : 6, Émis : 0, En cache : 3, Retiré : 1, Erreur : 1, En attente : 0PKI[7] : session : 0x14981ed1, révocation multiple terminéePKI[5] : nuit : 0x14981ed1, utilisation du contrôle de révocation des informations d’identification 0PKI[5] : la session 0x14981ed1 a rencontré des erreurs de contrôle de révocation ou des certificats révoqués

    Annonces de soins OCSP

    L’implémentation Microsoft OCSP est certifiée de retour au profil OCSP (Lightweight Online Certificate Status Protocol) RFC 5019 pour les environnements à haut volume, simplifié RFC 2560 X.509 Reute Internet Public Key Infrastructure Online Certificate Protocol – OCSP .

    La RFC ASA bénéficie de 2560 pour OCSP. Une différence impliquant les deux RFC est que la RFC a 5019 n’accepte pas les travaux autorisés soumis par l’ASA.

    Peut-être – forcez le temps du service Microsoft OCSP à accepter ces demandes signées et signalez-les avec une réponse correctement fermée.

    Veuillez donc dire clairement que les serveurs Windows intègrent l’ASA et utilisent deux RFC différents, même s’il s’agit d’OCSP. Ils appliquent l’un des deux correctifs qui aideront à résoudre positivement ce problème. L’un est simplement lié à la configuration de n’importe quel répondeur OCSP, généralement sur un serveur Windows approprié, et l’autre aux problèmes dov Accept ASA compilés pour authentifier les clients AnyConnect. Cependant, Cisco ne recommande pas cette modification pour l’ASA.

    Option 1 : Correction sur un serveur OCSP Windows

    Accédez à Outils de gestion en ligne > Gestion des répondeurs > Configuration de la révocation et cochez la case à côté de pour aider à activer la prise en charge de l’extension NONCE.

    Vous ne pouvez pas vous tromper avec cet outil de réparation de Windows. Si vous rencontrez des problèmes, cliquez simplement dessus et vos problèmes seront résolus.