Segurança : Cliente de mobilidade Cisco AnyConnect Secure

Erros da verificação de assinatura de HostScan na definição de problema de Linux

29 Julho 2013 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (8 Abril 2013) | Feedback

Introdução

Este documento descreve como resolver um erro de conexão do Cliente de mobilidade Cisco AnyConnect Secure se você distribui HostScan em Linux.

Contribuído por engenheiros de TAC da Cisco.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • AnyConnect
  • Cisco Secure Desktop (CSD)
  • Linux

Componentes Utilizados

Os usuários de Linux das influências da informação neste documento que executam CSD HostScan.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter informações sobre convenções de documentos.

Problema

Se você é um usuário de Linux que execute CSD HostScan, você vê um Mensagem de Erro que indique que a avaliação da postura falhou com um HostScan inicialize o erro:

116040-solution-anyconnect-01.png

No arquivo de libcsd.log, você igualmente vê que um Mensagem de Erro que indique o certificado de assinatura do código CSD HostScan expirou:

[Thu Feb 07 18:52:15.774 2013][libcsd][all][csd_init] hello
[Thu Feb 07 18:52:15.774 2013][libcsd][all][csd_init] libcsd.so version 3.1.02040
[Thu Feb 07 18:52:15.774 2013][libcsd][debug][hs_transport_init] initialization
[Thu Feb 07 18:52:15.774 2013][libcsd][debug][hs_file_verify_with_killdate] verifying file signature: file = [/opt/cisco/anyconnect/lib/libaccurl.so.4.2.0], signer = [Cisco Systems, Inc.], type = [2] [Thu Feb 07 18:52:15.963 2013][libcsd][error][verify_cb] Error 10, certificate has expired [Thu Feb 07 18:52:15.963 2013][libcsd][error][verify_cert] Certificate is not trusted
[Thu Feb 07 18:52:15.964 2013][libcsd][error][hs_file_verify_with_killdate] unable to verify the certificate trust.
[Thu Feb 07 18:52:15.964 2013][libcsd][error][hs_dl_load_global] file signature invalid, not loading library (/opt/cisco/anyconnect/lib/libaccurl.so.4.2.0).

Nota: Os usuários do Mac e do Windows não são afetados, porque o código do Mac e de cliente do Windows verifica somente se o certificado era válido quando o código foi assinado. Contudo, as verificações de código de Linux a validez atual do certificado.

Solução

Desde que o problema é causado na data em que o certificado foi assinado, você pode mudar o relógio de sistema para permitir que o usuário conecte; contudo, este não é um reparo.

A identificação de bug Cisco CSCue49663 (clientes registrados somente) foi arquivada para resolver este problema. A fim obter como mostrado o reparo, a elevação à versão 3.1.02043 de AnyConnect e à versão 3.0.11046 do motor de HostScan aqui:

webvpn 
enable outside 
csd hostscan image disk0:/hostscan_3.1.02043-k9.pkg
csd enable 
anyconnect image disk0:/anyconnect-win-3.1.02040-k9.pkg 1 regex "Windows NT" 
anyconnect image disk0:/anyconnect-macosx-i386-3.1.02040-k9.pkg 2 regex "Mac OS" 
anyconnect image disk0:/anyconnect-linux-3.1.02043-k9.pkg* 3 regex "Linux"

Os links conectam às versões corretas dos downloads do software (clientes registrados somente).

Informações Relacionadas


Comunidade de Suporte da Cisco - Conversas em Destaque

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas. Eis aqui algumas das conversas mais importantes apresentadas em nosso fórum.


Document ID: 116040