Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 15:14



Ответить на тему  [ Сообщений: 11 ] 
Cisco Anyconnect + Mac OS 
Автор Сообщение

Зарегистрирован: 16 авг 2016, 20:33
Сообщения: 38
Добрый вечер!
Есть пару MacBook. Позавчера вышло обновление Mac OS 10.15, которое не поддерживает Cisco Anyconnect x32, обновился до Cisco AnyConnect 4.8.
Но все равно не могу подключиться к маршрутизаторам Cisco.
Получаю ошибку:
Цитата:
AnyConnect cannot confirm it is connected to your secure gateway. The local network may not be trustworthy. Please try another network.

Сертификат на цисках установлен SHA-1 и без Subject Alternative Name (выдан локальным УЦ)
Нашел это https://support.apple.com/en-us/HT210176
Цитата:
Requirements for trusted certificates in iOS 13 and macOS 10.15

Learn about new security requirements for TLS server certificates in iOS 13 and macOS 10.15.

All TLS server certificates must comply with these new security requirements in iOS 13 and macOS 10.15:

TLS server certificates and issuing CAs using RSA keys must use key sizes greater than or equal to 2048 bits. Certificates using RSA key sizes smaller than 2048 bits are no longer trusted for TLS.
TLS server certificates and issuing CAs must use a hash algorithm from the SHA-2 family in the signature algorithm. SHA-1 signed certificates are no longer trusted for TLS.
TLS server certificates must present the DNS name of the server in the Subject Alternative Name extension of the certificate. DNS names in the CommonName of a certificate are no longer trusted.

Additionally, all TLS server certificates issued after July 1, 2019 (as indicated in the NotBefore field of the certificate) must follow these guidelines:

TLS server certificates must contain an ExtendedKeyUsage (EKU) extension containing the id-kp-serverAuth OID.
TLS server certificates must have a validity period of 825 days or fewer (as expressed in the NotBefore and NotAfter fields of the certificate).

Connections to TLS servers violating these new requirements will fail and may cause network failures, apps to fail, and websites to not load in Safari in iOS 13 and macOS 10.15.


Неужели теперь придется на всех цисках перегенерить сертификаты, чтобы соблюдались требования Apple?
Хотя в браузере Safari при открытие по https портала Cisco AnyConnect, все открывается.

Может кто уже столкнулся? Как решили?


09 окт 2019, 23:03
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
SHA-1 уже давно нужно было перегенерировать на SHA256-512 и это не требование надкусанного, поддержка SHA1 выпиливается у всех вендоров железа, софта, браузерах и т.д. с 2017 года...


10 окт 2019, 00:23
Профиль

Зарегистрирован: 16 авг 2016, 20:33
Сообщения: 38
Запросы на сертификаты генерились из самих цисок (свежие прошивки), странно, что они в SHA-1 сформировались.
Как сформировать из консоли запросы с SHA-256?


10 окт 2019, 01:07
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
о каких цисках и софте идёт речь


10 окт 2019, 09:25
Профиль

Зарегистрирован: 16 авг 2016, 20:33
Сообщения: 38
root99 писал(а):
о каких цисках и софте идёт речь

Cisco ISR 3900, IOS 15.7-3.M4b


10 окт 2019, 11:59
Профиль

Зарегистрирован: 16 авг 2016, 20:33
Сообщения: 38
Есть ключи выданные публичным CA. Посоветуйте пожалуйста толковый мануал загрузки закрытого\открытого ключа в Cisco ISR.


10 окт 2019, 13:01
Профиль

Зарегистрирован: 16 авг 2016, 20:33
Сообщения: 38
Вдруг кому пригодится
https://quaded.com/cisco-%D0%B8%D0%BC%D ... D0%B2-ios/


10 окт 2019, 15:36
Профиль

Зарегистрирован: 16 авг 2016, 20:33
Сообщения: 38
crypto ca authenticate CA_ROOT
Закинул корневой сертификат, но еще есть два подчиненных и мой сертификат.

crypto pki import NEW-SSLVPN-CERT pem terminal password **password**
Закидываю два подчиненных, мой закрытый ключ, сертификат. Написало, что все успешно импортировано.

show crypto ca cert
Смотрю сертификаты в хранилище, добавился только один подчиненный сертификат, второй никак не хочет добавляться.

Нужно чтобы Cisco отправляла цепочку подчиненных сертификатов клиенту.

Как добавить второй подчиненный?


10 окт 2019, 20:36
Профиль

Зарегистрирован: 16 авг 2016, 20:33
Сообщения: 38
Решил вопрос.
https://www.sslcertificaten.nl/support/ ... ertificaat


10 окт 2019, 22:40
Профиль

Зарегистрирован: 16 дек 2008, 08:44
Сообщения: 604
для Self-Signed сертификатов решение тут https://silver-golem.livejournal.com/443107.html


17 дек 2019, 08:15
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 228
itsec писал(а):
root99 писал(а):
о каких цисках и софте идёт речь

Cisco ISR 3900, IOS 15.7-3.M4b


А не подскажете толковый мануал, возможно которым вы пользовались при настройке AnyConnect на роутере? Как-то больше гуглится инструкции для ASA, для ISR что-то внятное не смог найти пока. Тоже Макбуки и iOS девайсы хочу попробовать пустить удаленно в сеть. Может какие ссылки сохранились, которые использовали, буду признателен.


21 дек 2019, 16:03
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 11 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 51


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB