Segurança : Cliente de mobilidade Cisco AnyConnect Secure

Erro da verificação de assinatura de AnyConnect Hostscan em Linux

5 Fevereiro 2014 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (1 Outubro 2013) | Feedback

Introdução

Este documento descreve como resolver um erro de conexão do Cliente de mobilidade Cisco AnyConnect Secure se você distribui Hostscan em Linux.

Contribuído por Atri Basu e por jovens do gaio, engenheiros de TAC da Cisco.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Cisco AnyConnect
  • Cisco Secure Desktop (CSD)
  • Linux

Componentes Utilizados

Os usuários de Linux das influências da informação neste documento que executam CSD Hostscan.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Problema

Quando um usuário de Linux dirige Cisco Anyconnect conjuntamente com CSD Hostscan, um Mensagem de Erro aparece que indique que a avaliação da postura falhada com um Hostscan inicializa o erro:

116040-problemsolution-product-01.png

No arquivo de libcsd.log, um Mensagem de Erro indica que o certificado usado a fim assinar o binário CSD Hostscan expirou:

[Thu Feb 07 18:52:15.774 2013][libcsd][all][csd_init]
  hello
[Thu Feb 07 18:52:15.774 2013][libcsd][all][csd_init]
  libcsd.so version 3.1.02040
[Thu Feb 07 18:52:15.774 2013][libcsd][debug]
  [hs_transport_init] initialization
[Thu Feb 07 18:52:15.774 2013][libcsd][debug]
  [hs_file_verify_with_killdate] verifying file
  signature: file = [/opt/cisco/anyconnect/lib/libaccurl.so.4.2.0],
  signer = [Cisco Systems, Inc.], type = [2] [Thu Feb 07 18:52:15.963 2013][libcsd][error][verify_cb]
  Error 10, certificate has expired
[Thu Feb 07 18:52:15.963 2013][libcsd][error][verify_cert]
  Certificate is not trusted
[Thu Feb 07 18:52:15.964 2013][libcsd][error]
  [hs_file_verify_with_killdate] unable to verify
  the certificate trust.
[Thu Feb 07 18:52:15.964 2013][libcsd][error][hs_dl_load_global]
  file signature invalid, not
  loading library (/opt/cisco/anyconnect/lib/libaccurl.so.4.2.0).

Nota: Os usuários do Mac e do Windows não são afetados por esta edição. Isto é porque o código do Mac e de cliente do Windows verifica que o certificado usado assinando é válido na altura do código que assina, visto que as verificações de código do cliente Linux se o certificado usado assinando é atualmente válido.

Solução

Desde que o problema é causado na data em que o certificado foi assinado, você pode mudar o relógio de sistema a fim permitir que o usuário conecte; contudo, este não é um reparo.

A identificação de bug Cisco CSCue49663 (clientes registrados somente) foi arquivada a fim resolver este problema. A fim obter o reparo, promova à versão 3.1.02043 de AnyConnect, ou à elevação somente o pacote do motor de Hostscan à versão 3.0.11046, como mostrado aqui:

webvpn 
enable outside 
csd hostscan image disk0:/hostscan_3.1.02043-k9.pkg
csd enable 
anyconnect image disk0:/anyconnect-win-3.1.02040-k9.pkg 1 regex "Windows NT" 
anyconnect image disk0:/anyconnect-macosx-i386-3.1.02040-k9.pkg 2 regex "Mac OS" 
anyconnect image disk0:/anyconnect-linux-3.1.02043-k9.pkg* 3 regex "Linux"

Nota: Estas tintas conectam às versões corretas dos downloads do software (clientes registrados somente).


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 116040