Jak Obsługiwać Debugowanie Tak Samo Jak Uwierzytelnianie Certyfikatu?

Oto kilka łatwych do zastosowania metod, które mogą pomóc w zaplanowaniu uwierzytelniania debugowania jako odpowiedniego wydania certyfikatu.

< /p>Czy Twój komputer działa wolno i wolno? Czy nękają go tajemnicze komunikaty o błędach i awarie? Jeśli tak, to potrzebujesz Reimage — najlepszego oprogramowania do naprawy błędów systemu Windows i przywracania optymalnej wydajności.

Próbuję generować certyfikaty za pomocą najważniejszych ciscoanywhere ASA i . Kiedy zastanawiam się nad połączeniem, CiscoAnywhere przerywa działanie z prawdziwym błędem „Certificate Verification Failed”, ale na wyjściu interfejsu CLI nadal pojawia się „debuguj crypto ca 255″Funkcje w porządku dla mnie.

fw-ext/pri/act# CERT_API: Pomyślnie otwarto sesję PKI 0x0a961e13 wyścig z typem SSLCERT_API: Encounter 0x0a961e13, uwierzytelnianie , nieblokujący cb=0x00007f48280e3240Wątek CERT API budzi się!CERT_API: msg cmd=0, session= 0x0a961e13CERT_API: blokada asynchroniczna przeznaczona dla sesji 0x0a961e13

CRYPTO_PKI: sprawdzanie w celu uzyskania identycznego certyfikatu
w mojej nowej bazie danych…

CRYPTO_PKI: licencja zgodności w handle=0x00007f4805690d30, digest=
ff osiemdziesiąt trzy dziewięćdziesiąt sześć 19 8d 33 b0 czterdzieści trzy podwójne a b3 64 98 96 wielokrotne a 78 69 | …..3.C..d…xi

CRYPTO_PKI: Nie znaleziono bazy danych certyfikatów.CRYPTO_PKI: Wyszukaj odpowiednie punkty myślenia dla specjalnego typu połączenia SSL CRYPTO_PKI: dopasowane tp: Face=”courier asdm_trustpoint-internal-caCRYPTO_PKI: contextMemory Zablokowane przez Stream Certification API .5.5.7.3.1Face= “courier Znaleziono CRYPTO_PKI: check_key_usage:ExtendedKeyUsage OID=1.3.6.1.5.5.7.3.1, NOT AcceptableFace=”Kurier CRYPTO_PKI:check_key_usage: ExtendedKeyUsageOID=1.3.6.1. 5.5.7.3.2CRYPTO_PKI:check_key_usage:Sprawdź użycie przycisku OK

debuguj uwierzytelnianie certyfikatu asa

CRYPTO_PKI: Unikaj sprawdzania unieważnień na podstawie konfiguracji projektu zabezpieczeniaCRYPTO_PKI: Certyfikat face=”courier zatwierdzone. Numer seryjny: 50A765EB000000004FA5, Nazwa: Obiekt cn=MYUSER-EXT-PC.ENV.global.

CRYPTO_PKI: certyfikat zweryfikowany bez sprawdzania zawieszeniaCERT_API: dzwoniący użytkownik callback=0x00007f48280e3240 ze statusem=0 (sukces) CERT_API: sesja zamknięta 0x0a961e13 asynchronicznieCERT_API: włączone dla środowiska roboczego 0x0a961e13 CERT_API: wiadomość procesowa cmd=1 również session=0x0a961e13CERT_API: zablokowane dla zadania 0x0a961e13CERT_API: odblokowane dotyczące sesji aktywności 0x0a961e13

Włączyłem Debug Crypto ca 7 na twoim obecnym ASA i próbowałem na stałe poradzić sobie z tunelem VPN, który znalazł błędy debugowania. Oto fragment pochodzący ze wszystkich danych wyjściowych debugowania:

Zalecane: Reimage

Reimage to rewolucyjne oprogramowanie, które pomaga rozwiązać różne problemy z systemem Windows za pomocą jednego kliknięcia. Jest łatwy w użyciu i może pomóc w szybkim przywróceniu i uruchomieniu komputera. Więc nie cierpij już z powodu problemów z systemem Windows — Reimage może pomóc!

  • Krok 1: Pobierz i zainstaluj Reimage
  • Krok 2: Uruchom program i wybierz system, który chcesz przeskanować
  • Krok 3: Kliknij przycisk Skanuj i poczekaj na zakończenie procesu

  • PKI[7]: stan nieukończonej pauzy dla napędów 0x14981ed1, a także 0, cert_idx rev_status 6PKI[7]: Stan wstrzymania łańcucha: dobry: 0, wydany: 7, buforowany: 0, wycofany: 0, błąd: 8, oczekujący: 1PKI[7]: ocena historii blokad sesji, certyfikat do weryfikacjiPKI[7]: uruchom OCSP FSM #0CRYPTO_PKI: Próba znalezienia zastępującego OCSP certyfikatu równorzędnego: obsłuż całkowity numer seryjny: , nazwa podmiotu: CN=test1,CN=Users,DC=mylab,DC=local, nazwa nadawcy wiadomości e-mail w temacie: CN=WIN-2K12- 01 -CA ,DC=mylab,DC=lokalne.CRYPTO_PKI: nie znaleziono podstawienia OCSP.PKI[4]: Brak AIA dla sprawdzenia unieważnienia OCSP, wpis certyfikatu 0PKI[7]: Lista unieważnień OCSP aia utworzona dla indeksu aktu małżeństwa 0 z 6 AIA, błąd FAŁSZPKI[4]: więcej AIA do przetestowaniaPKI[7]: popularność zawieszania w kolejce dla sesji 0x14981ed1 oraz cert_idx 5, rev_status 6PKI[7]: Status kontroli łańcucha: Silny: 0, Wydany: 0, Buforowany: 0, Zatrzymany: 0, Błąd: 0, Oczekujący: 1PKI[7]: ocena stanu blokady sesji, pojedynczy certyfikat, który można zweryfikować.PKI[7]: Stan blokady łańcucha: dobry: 6, wydany: 1, buforowany: 0, wycofany: 1, błąd: 5, oczekujący: 0PKI[7]: sesja: 0x14981ed1, wielokrotne zawieszenie zakończonePKI[5]: sesja: 0x14981ed1, wyjście skanowania odwołania poświadczeń 0PKI[5]: sesja 0x14981ed1 napotkała błędy sprawdzania zawieszenia lub unieważniono certyfikaty

    Zapowiedzi pomocy OCSP

    Implementacja Microsoft OCSP jest w rzeczywistości certyfikowana zgodnie z profilem RFC 5019 Lightweight Online Certificate Status Protocol (OCSP) dla wielu środowisk o dużej objętości, uproszczony RFC 2560 X.509 Reute Internet Public Key Infrastructure Online Certificate Protocol – OCSP.

    RFC ASA używa 2560 dla OCSP. Jedną z różnic między tymi dwoma dokumentami RFC jest to, że RFC a 5019 nie akceptuje nawet podpisanych zadań przesłanych przez te ASA.

    Możliwe — zmuś usługę Microsoft OCSP do zaakceptowania tych podpisanych potrzeb i opublikowania ich za pomocą normalnie podpisanej odpowiedzi.

    Więc wyraźnie mówisz, przez które serwery Windows korzystają z ASA i umieszczają dwa różne RFC, mimo że jest to OCSP. Stosują jedną z par poprawek, aby pozytywnie rozwiązać ten czynnik. Jeden jest związany z układem respondera OCSP, zwykle bezpośrednio na serwerze Windows, a wiele z nich jest związanych z punktami dov Accept ASA skompilowanymi w celu uwierzytelniania klientów AnyConnect. Jednak Cisco nie stosuje tej poprawki dla ASA.

    Opcja 1: Napraw na serwerze Windows OCSP

    Przejdź do Narzędzia do zarządzania online > Zarządzanie responderami > Konfiguracja odwołania i zaznacz pole obok, aby pomóc włączyć obsługę rozszerzenia NONCE.

    Nie możesz się pomylić z tym narzędziem do naprawy systemu Windows. Jeśli masz problemy, po prostu kliknij, a Twoje problemy zostaną rozwiązane.