인증서 인증과 같은 디버그 제어 방법

다음은 인증서 문제가 발생하는 동안 디버그 인증을 수정할 수 있는 따르기 쉬운 방법입니다.

PC가 느리게 실행되고 있습니까? 알 수 없는 오류 메시지와 충돌이 발생합니까? 그렇다면 Windows 오류를 수정하고 최적의 성능을 복원하기 위한 Reimage � 최고의 소프트웨어가 필요합니다.

ciscoanywhere ASA 및 . 연결을 시도하면 CiscoAnywhere가 “인증서 확인 실패” 오류와 함께 중단되지만 CLI 출력에는 여전히 “디버그 크립토 콜로라도 255″가 잘 작동합니다.

fw-ext/pri/act# CERT_API: SSL 유형으로 실행되는 PKI 운동 0x0a961e13을 성공적으로 열었습니다.CERT_API: 만남 0x0a961e13, 인증 , 비차단 cb=0x00007f48280e3240CERT API 스레드를 확보 중입니다!CERT_API: 글루타민산 나트륨 cmd=0, session= 0x0a961e13CERT_API: 세션 0x0a961e13에 대한 비동기식 고정

CRYPTO_PKI: 동일한 인증서 확인 중
내 데이터베이스…

CRYPTO_PKI: 적합성 인증서 in handle=0x00007f4805690d30, digest=
ff 83 96 19 8d 30 세 b0 마흔셋 aa b3 64 97 96 두 배 a 78 육십 구 | …..3.C..d…xi

CRYPTO_PKI: 데이터베이스에서 인증서를 인식할 수 없습니다.CRYPTO_PKI: SSL 연결 유형 CRYPTO_PKI: 동기화된 tp: Face=”courier asdm_trustpoint-internal-caCRYPTO_PKI: 스트림 인증 API .5.5.7.3.1Face= “courier CRYPTO_PKI 발견: check_key_usage:ExtendedKeyUsage OID=1.3.6.1.5.5.7.3.1, NOT AcceptableFace=”Kurier CRYPTO_PKI:check_key_usage: ExtendedKeyUsageOID=1.3.6.1. 5.5.7.3.2CRYPTO_PKI:check_key_usage:키 사용 확인 확인

debug asa certificate authentication

CRYPTO_PKI: 헤징 계획 구성에 기반한 해지 확인 방지CRYPTO_PKI: Certificate face=” 택배 확인. 일련 번호: 50A765EB000000004FA5, 이름: 개체 cn=MYUSER-EXT-PC.ENV.global.

CRYPTO_PKI: 해지 확인 없이 검증된 인증서CERT_API: 개인 콜백 호출=0x00007f48280e3240 상태=0 (success) CERT_API: 비동기식으로 세션 0x0a961e13 닫기CERT_API: 작업대 0x0a961e13에 대해 활성화됨 CERT_API: cmd=1 , session=0x0a961e13CERT_API: 활동 0x0a961e13CERT_API: 활동 세션 0x0a961e13에 대해 잠금 해제됨 CERT API가 매우 조심스럽게 자고 있습니다!

이 기사에서는 AnyConnect 인증서 유효성 검사 오류를 사용하는 놀라운 근본 원인을 다루지 않습니다. 나는 모든 종류의 Cisco AnyConnect 관리 터널을 설정하는 방법을 다루고 있었습니다. 링크에서 다룰 수 있는 다른 기사입니다. 좋은 Windows 클라이언트에서 새롭고 훌륭한 AnyConnect SSL VPN을 만들려고 했을 때 어떤 정당한 이유가 있었습니다. 모든 화면에 인증서 유효성 검사 오류 메시지가 걸려 실패했습니다. .

클라이언트 자격 증명에 계속 문제가 있다고 생각했습니다. 그렇지 않으면 구성된 ASA의 신뢰 지점이 AnyConnect 클라이언트에 대한 승인을 인증할 수 있습니다. 클라이언트 측에서 컨설팅했을 때 모든 것이 잘 보였고 사용자 및 컴퓨터 인증서도 성공적으로 영구적으로 설치되었으며 주요 게시자 CA 인증서도 정품 저장소에 있는 것 같았습니다.

또한 ASA의 관점에서 ASA의 ID 인증서는 믿을 수 없을 정도로 좋아 보였고 모든 클라이언트 인증을 담당하는 신뢰 계층도 마찬가지였습니다. 이 신뢰 문제는 해지 확인 시 구성된 OCSP에 의해 해제됩니다. OCSP는 이 Windows 장치입니다. 또한 Windows 서버에서 OCSP 설정을 확인했으며 대부분이 잘 작동하고 있었습니다.

debug asa 바우처 인증

ASA에서 추가로 Debug Crypto ca를 활성화하고 VPN 터널을 영구적으로 복구하려고 시도했지만 디버그 오류를 발견했습니다. 다음은 디버그 출력의 모든 종류의 스니펫입니다.

권장: Reimage

Reimage은 버튼 클릭만으로 다양한 Windows 문제를 해결할 수 있도록 도와주는 혁신적인 소프트웨어입니다. 사용하기 쉽고 컴퓨터를 즉시 백업하고 실행할 수 있습니다. 더 이상 Windows 문제로 고통받지 마세요. Reimage이 도와드리겠습니다!

  • 1단계: Reimage 다운로드 및 설치
  • 2단계: 프로그램을 실행하고 스캔하려는 시스템을 선택합니다.
  • 3단계: 스캔 버튼을 클릭하고 프로세스가 완료될 때까지 기다립니다.


  • <이전 클래스="">PKI[7]: 0x14981ed1 및 0, cert_idx rev_status 6에 대한 보류 중인 일시 중지 상태PKI[7]: 체인 잠금 상태: 양호: 0, 발행: 7, 캐시: 0, 철회: 0, 오류: 8, 보류: 1PKI[7]: 세션 잠금 과거 평가, 확인할 인증서 1개PKI[7]: OCSP FSM #0 시작CRYPTO_PKI: 피어 인증서에 대한 OCSP 대체 시도: 일련 번호 극복: <건너뛰기>, 주체 이름: CN=test1,CN=Users,DC=mylab,DC=local, 주체 발신자 이름: CN=WIN-2K12-01 -CA ,DC=mylab,DC=로컬.CRYPTO_PKI: OCSP 교체를 찾을 수 없습니다.PKI[4]: OCSP 해지 확인을 위한 AIA 없음, 인증서가 0에 연결됨PKI[7]: 6개의 AIA가 있는 인증서 인덱스 0에 대해 사용자 정의된 OCSP 해지 목록 aia, 오류 FALSEPKI[4]: 테스트할 수 있는 더 많은 AIAPKI[7]: 0x14981ed1 및 cert_idx 5, rev_status 6 기간 동안 대기 중인 해지 인기도PKI[7]: 체인 잠금 상태: 강함: 0, 발행됨: 0, 캐시됨: 0, 중지됨: 0, 오류: 0, 보류 중: 1PKI[7]: 세션 잠금 단계 평가, 일반적으로 확인할 수 있는 인증서 1개.PKI[7]: 체인 잠금 상태: 양호: 6개, 발행: 0, 캐시: 0, 철회: 하나만, 오류: 1, 보류: 0PKI[7]: 세션: 0x14981ed1, 다양한 해지 완료PKI[5]: 세션: 0x14981ed1, 능력 취소 확인 출력 0PKI[5]: 0x14981ed1 방문에서 해지 확인 오류가 발생했거나 인증서가 일시 중단되었습니다.

    <블록 인용>

    OCSP 서비스 공지

    Microsoft OCSP 구현은 대용량 환경을 위한 RFC 5019 경량 OCSP(온라인 인증서 상태 프로토콜) 프로필, 간소화된 RFC 2560 X.509 Reute 인터넷 공개 키 인프라 온라인 인증서 프로토콜 – OCSP에 대한 인증을 받았습니다.

    ASA RFC는 OCSP에서 2560을 사용합니다. 쌍둥이 RFC 간의 한 가지 차이점은 RFC 특정 5019가 ASA에서 제출한 서명된 작업을 수락하지 않는다는 것입니다.

    가능 – 현재 Microsoft OCSP 서비스가 서명된 모든 요청을 수락하고 적절하게 서명된 응답과 함께 게시하도록 합니다.

    따라서 Windows 서버가 ASA를 사용하고 OCSP일 수 있지만 두 개의 서로 다른 RFC를 사용한다는 것은 분명합니다. 그들은 이 문제를 긍정적으로 치료하기 위해 두 가지 수정 사항 중 하나를 적용합니다. 하나는 일반적으로 Windows 서버에서 OCSP 응답기를 구성할 수 있는 것과 관련이 있고 다른 하나는 인증 AnyConnect 클라이언트로 컴파일된 dov Accept ASA 포인트 유형과 관련이 있습니다. 그러나 Cisco는 ASA에 대해 이 수정 사항을 완전히 권장하지 않습니다.

    옵션 1: Windows OCSP 서버에서 수정

    온라인 관리 도구 > 응답자 관리 > 해지 구성으로 이동하고 NONCE 확장 지원을 활성화하려면 옆에 있는 확인란을 선택합니다.

    이 Windows 수정 도구로 잘못 갈 수 없습니다. 문제가 있는 경우 클릭하면 문제가 해결됩니다.