Anticisco
http://www.anticisco.ru/forum/

Cisco Anyconnect + Mac OS
http://www.anticisco.ru/forum/viewtopic.php?f=2&t=11139
Страница 1 из 1

Автор:  itsec [ 09 окт 2019, 23:03 ]
Заголовок сообщения:  Cisco Anyconnect + Mac OS

Добрый вечер!
Есть пару MacBook. Позавчера вышло обновление Mac OS 10.15, которое не поддерживает Cisco Anyconnect x32, обновился до Cisco AnyConnect 4.8.
Но все равно не могу подключиться к маршрутизаторам Cisco.
Получаю ошибку:
Цитата:
AnyConnect cannot confirm it is connected to your secure gateway. The local network may not be trustworthy. Please try another network.

Сертификат на цисках установлен SHA-1 и без Subject Alternative Name (выдан локальным УЦ)
Нашел это https://support.apple.com/en-us/HT210176
Цитата:
Requirements for trusted certificates in iOS 13 and macOS 10.15

Learn about new security requirements for TLS server certificates in iOS 13 and macOS 10.15.

All TLS server certificates must comply with these new security requirements in iOS 13 and macOS 10.15:

TLS server certificates and issuing CAs using RSA keys must use key sizes greater than or equal to 2048 bits. Certificates using RSA key sizes smaller than 2048 bits are no longer trusted for TLS.
TLS server certificates and issuing CAs must use a hash algorithm from the SHA-2 family in the signature algorithm. SHA-1 signed certificates are no longer trusted for TLS.
TLS server certificates must present the DNS name of the server in the Subject Alternative Name extension of the certificate. DNS names in the CommonName of a certificate are no longer trusted.

Additionally, all TLS server certificates issued after July 1, 2019 (as indicated in the NotBefore field of the certificate) must follow these guidelines:

TLS server certificates must contain an ExtendedKeyUsage (EKU) extension containing the id-kp-serverAuth OID.
TLS server certificates must have a validity period of 825 days or fewer (as expressed in the NotBefore and NotAfter fields of the certificate).

Connections to TLS servers violating these new requirements will fail and may cause network failures, apps to fail, and websites to not load in Safari in iOS 13 and macOS 10.15.


Неужели теперь придется на всех цисках перегенерить сертификаты, чтобы соблюдались требования Apple?
Хотя в браузере Safari при открытие по https портала Cisco AnyConnect, все открывается.

Может кто уже столкнулся? Как решили?

Автор:  root99 [ 10 окт 2019, 00:23 ]
Заголовок сообщения:  Re: Cisco Anyconnect + Mac OS

SHA-1 уже давно нужно было перегенерировать на SHA256-512 и это не требование надкусанного, поддержка SHA1 выпиливается у всех вендоров железа, софта, браузерах и т.д. с 2017 года...

Автор:  itsec [ 10 окт 2019, 01:07 ]
Заголовок сообщения:  Re: Cisco Anyconnect + Mac OS

Запросы на сертификаты генерились из самих цисок (свежие прошивки), странно, что они в SHA-1 сформировались.
Как сформировать из консоли запросы с SHA-256?

Автор:  root99 [ 10 окт 2019, 09:25 ]
Заголовок сообщения:  Re: Cisco Anyconnect + Mac OS

о каких цисках и софте идёт речь

Автор:  itsec [ 10 окт 2019, 11:59 ]
Заголовок сообщения:  Re: Cisco Anyconnect + Mac OS

root99 писал(а):
о каких цисках и софте идёт речь

Cisco ISR 3900, IOS 15.7-3.M4b

Автор:  itsec [ 10 окт 2019, 13:01 ]
Заголовок сообщения:  Re: Cisco Anyconnect + Mac OS

Есть ключи выданные публичным CA. Посоветуйте пожалуйста толковый мануал загрузки закрытого\открытого ключа в Cisco ISR.

Автор:  itsec [ 10 окт 2019, 15:36 ]
Заголовок сообщения:  Re: Cisco Anyconnect + Mac OS

Вдруг кому пригодится
https://quaded.com/cisco-%D0%B8%D0%BC%D ... D0%B2-ios/

Автор:  itsec [ 10 окт 2019, 20:36 ]
Заголовок сообщения:  Re: Cisco Anyconnect + Mac OS

crypto ca authenticate CA_ROOT
Закинул корневой сертификат, но еще есть два подчиненных и мой сертификат.

crypto pki import NEW-SSLVPN-CERT pem terminal password **password**
Закидываю два подчиненных, мой закрытый ключ, сертификат. Написало, что все успешно импортировано.

show crypto ca cert
Смотрю сертификаты в хранилище, добавился только один подчиненный сертификат, второй никак не хочет добавляться.

Нужно чтобы Cisco отправляла цепочку подчиненных сертификатов клиенту.

Как добавить второй подчиненный?

Автор:  itsec [ 10 окт 2019, 22:40 ]
Заголовок сообщения:  Re: Cisco Anyconnect + Mac OS

Решил вопрос.
https://www.sslcertificaten.nl/support/ ... ertificaat

Автор:  Akhmetov [ 17 дек 2019, 08:15 ]
Заголовок сообщения:  Re: Cisco Anyconnect + Mac OS

для Self-Signed сертификатов решение тут https://silver-golem.livejournal.com/443107.html

Автор:  siqueiros [ 21 дек 2019, 16:03 ]
Заголовок сообщения:  Re: Cisco Anyconnect + Mac OS

itsec писал(а):
root99 писал(а):
о каких цисках и софте идёт речь

Cisco ISR 3900, IOS 15.7-3.M4b


А не подскажете толковый мануал, возможно которым вы пользовались при настройке AnyConnect на роутере? Как-то больше гуглится инструкции для ASA, для ISR что-то внятное не смог найти пока. Тоже Макбуки и iOS девайсы хочу попробовать пустить удаленно в сеть. Может какие ссылки сохранились, которые использовали, буду признателен.

Страница 1 из 1 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/