Hur Håller Man Koll På Felsökning Som Certifikatautentisering?

Här kan finnas några enkla metoder som kan göra det enklare att åtgärda felsökningsautentisering när ett certifikat har utfärdats.

Går din dator långsamt och trögt? Är det plågat av mystiska felmeddelanden och krascher? Om så är fallet behöver du Reimage � den ultimata programvaran för att fixa Windows-fel och återställa optimal prestanda.

Jag försöker generera certifikat som producerar användning av ciscoanywhere ASA och . När jag försöker ansluta avbryts CiscoAnywhere med felet “Certificate Verification Failed”, men CLI-utgången visar fortfarande avsnittet “felsöka crypto los angeles 255″ fungerar bra för mig.

fw-ext/pri/act# CERT_API: PKI-besök 0x0a961e13 har öppnats framgångsrikt med SSL-typCERT_API: Stöter på 0x0a961e13, autentisering , icke-blockerande cb=0x00007f48280e3240CERT API-tråden vaknar!CERT_API: mononatriumglutamat cmd=0, session= 0x0a961e13< span face=" courier new,courier">CERT_API: asynkron bifoga för session 0x0a961e13

CRYPTO_PKI: Söker efter ett identiskt certifikat
i min databas…

CRYPTO_PKI: överensstämmelsecertifikat i handle=0x00007f4805690d30, digest=
ff åttiotre 96 19 8d trettiotre b0 fyrtiotre aa b3 64 nittioåtta 96 dubbel a 78 sextionio | …..3.C..d…xi

CRYPTO_PKI: Certifikat inte bevisat i databasen.CRYPTO_PKI: Sök efter lämpliga förtroendepunkter för SSL-hyperlänktyp CRYPTO_PKI: likställt tp: Face=”courier asdm_trustpoint-internal-caCRYPTO_PKI: contextMemory Locked by Stream Certification API .5.5.7.3.1Face= “courier CRYPTO_PKI hittades: check_key_usage:ExtendedKeyUsage OID=1.3.6.1.5.5.7.3.1, NOT AcceptableFace=”Kurier CRYPTO_PKI:check_key_usage: ExtendedKeyUsageOID=1.3.6.1. 5.5.7.3.2CRYPTO_PKI:check_key_usage:Kontrollera nyckelanvändning OK

debug asa-certifikatautentisering

CRYPTO_PKI: Undvik återkallelsekontroller baserad konfiguration av säkringsplanCRYPTO_PKI: Certificate face=”courier validated . Serienummer: 50A765EB000000004FA5, Namn: Objekt cn=MYUSER-EXT-PC.ENV.global.

CRYPTO_PKI: certifikat validerat inte återkallelsekontrollCERT_API: ringer surfer callback=0x00007f48280e3240 med status=0( success) CERT_API: stäng session 0x0a961e13 asynkrontCERT_API: aktiverad för arbetsbänk 0x0a961e13CERT_API : process marketing message cmd=1 , session=0x0a961e13CERT_API: stängd för aktivitet 0x0a961e13CERT_API: upplåst för aktivitetssession 0x0a961e13 CERT API sover gott!

I den här artikeln tar det inte upp den överraskande grundorsaken till att valideringsfelet för AnyConnect-certifikatet skaffas. Jag hade att göra med att sätta upp en absolut Cisco AnyConnect Management Tunnel, som jag kommer att täcka i en länk som kommer en annan artikel, och för ett visst mål, när jag försökte skapa alla AnyConnect SSL VPN från en bra Windows-klient, misslyckades det, med en Certifikatvalidering Felmeddelande hänger på hela skärmen. .

Jag trodde att det uppstod ett problem med klientuppgifterna, annars kan förtroendepunkten på ett par konfigurerade ASA:er autentiseras för att godkänna dem till AnyConnect-klienter. När man höll reda på på klientsidan fungerade allt bra, användar- och datorposterna installerades också permanent permanent, plus att huvudutgivarens CA-certifikat har funnits i den äkta butiken.

Också, från den exakta ASA:s synvinkel, såg ASA:s identitetscertifikat otroligt bra ut, främst för att förtroendeskiktet ansvarade för att autentisera alla klienter. Detta förtroendeämne släpps av OCSP konfigurerat med avseende på återkallelsekontroll. OCSP är en enorm Windows-enhet. Jag kollade också OCSP-inställningen på Windows-servern och de flesta av dem tittade och hjälpte fint.

debug asa records authentication

Jag aktiverade Debug Crypto ca 4 på ASA och försökte reparera VPN-tunneln permanent, vilket hittade felsökningsfel. Här är ditt utdrag av felsökningsutdata:

Rekommenderas: Reimage

Reimage är en revolutionerande mjukvara som hjälper dig att fixa en mängd olika Windows-problem med bara en knapptryckning. Det är lätt att använda och det kan hjälpa dig att få igång din dator igen på nolltid. Så lid inte av Windows-problem längre - Reimage kan hjälpa!

  • Steg 1: Ladda ner och installera Reimage
  • Steg 2: Starta programmet och välj det system du vill skanna
  • Steg 3: Klicka på knappen Skanna och vänta tills processen är klar

  • PKI[7]: väntande pausstatus för kampanjer 0x14981ed1 och 0, cert_idx rev_status 6PKI[7]: Kedjelåsstatus: Bra: 0, Utfärdat: 7, Cachad: 0, Återkallat: 0, Fel: 8, Väntande: 1PKI[7]: ursprungsutvärdering av sessionslås, 1 certifikat att verifieraPKI[7]: skaffa dig OCSP FSM #0CRYPTO_PKI: Försök att visas OCSP-ersättning för peer-certifikat: erbjudande Serienummer: , ämnesnamn: CN=test1,CN=Users,DC=mylab,DC=local, ämnesavsändarens namn: CN=WIN-2K12-01 – CA ,DC=mylab,DC=local.CRYPTO_PKI: OCSP-ersättning hittades inte.PKI[4]: Ingen AIA för OCSP-återkallelsekontroll, certifiera din sökväg 0PKI[7]: OCSP-spärrlista aia introducerad för certifikatindex 0 med ett halvdussin AIA, fel FALSKPKI[4]: fler AIA:er med testPKI[7]: popularitet för återkallande i kö för verkstad 0x14981ed1 och cert_idx 5, rev_status 6PKI[7]: Kedjelåsstatus: Stark: 0, Utfärdad: 0, Cachad: 0, Stoppad: 0, Fel: 0, Väntande: 1PKI[7]: utvärdering av sessionslåsstadiet, 1 certifikat som kan verka verifierat.PKI[7]: Kedjelåsstatus: Bra: goda skäl till varför, Utfärdat: 0, Cachad: 0, Återkallat: # 1, Fel: 1, Väntande: 0PKI[7]: session: 0x14981ed1, återkallelse av beloppet slutförtPKI[5]: session: 0x14981ed1, utgång för återkallelsekontroll av förmågor 0PKI[5]: plan 0x14981ed1 påträffade fel vid återkallelsekontroll eller avstängda certifikat

    OCSP-tjänstmeddelanden

    Microsoft OCSP-implementeringen är certifierad enligt RFC 5019 Lightweight Online Certificate Status Protocol (OCSP) Profile for High-Volume Environments, Simplified RFC 2560 X.509 Reute Internet Public Key Infrastructure Online Certificate Protocol – OCSP.

    ASA RFC använder 2560 designad för OCSP. En skillnad mellan de andra RFC:erna är att RFC någon form av 5019 inte accepterar signerade jobb skrivna av ASA.

    Möjligen – tvinga vanligtvis Microsoft OCSP-tjänsten att acceptera några signerade förfrågningar och publicera dem med ett korrekt signerat svar.

    Så du kommer tydligt att säga att Windows-servrar använder ASA och använder två olika RFC:er, enhetliga även om det är OCSP. De tillämpar en person av två korrigeringar för att positivt lösa detta problem. Den ena är relaterad så att du konfigurerar OCSP gvo-autosvararen, vanligtvis på en Windows-server, utöver det är den andra relaterad till hela dov Accept ASA-punkter som kompilerats för att kunna autentisera AnyConnect-klienter. Cisco har dock inte rekommenderat denna korrigering för generellt ASA.

    Alternativ 1: Fix på en Windows OCSP-server

    Gå till Onlinehanteringsverktyg > Responderhantering > Återkallningskonfiguration och markera rutan bredvid för att hjälpa till att aktivera support för NONCE-tillägget.

    Du kan inte gå fel med detta Windows-fixverktyg. Om du har problem klickar du bara på den så kommer dina problem att lösas.