Seguridad : Cliente de movilidad Cisco AnyConnect Secure

Errores de la verificación de firma de HostScan en la solución de problemas de Linux

16 Agosto 2013 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (8 Abril 2013) | Comentarios

Introducción

Este documento describe cómo resolver un error de conexión del Cliente de movilidad Cisco AnyConnect Secure si usted despliega HostScan en Linux.

Contribuido por los ingenieros de Cisco TAC.

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

  • AnyConnect
  • (CSD) del Cisco Secure Desktop
  • Linux

Componentes Utilizados

La información en este documento afecta a los usuarios de Linux que ejecutan CSD HostScan.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener información sobre las convenciones sobre documentos.

Problema

Si usted es un usuario de Linux que ejecuta CSD HostScan, usted ve un mensaje de error que indica que la evaluación de la postura ha fallado con un HostScan inicialice el error:

116040-solution-anyconnect-01.png

En el archivo de libcsd.log, usted también ve que ha expirado un mensaje de error que indica el certificado de firma del código CSD HostScan:

[Thu Feb 07 18:52:15.774 2013][libcsd][all][csd_init] hello
[Thu Feb 07 18:52:15.774 2013][libcsd][all][csd_init] libcsd.so version 3.1.02040
[Thu Feb 07 18:52:15.774 2013][libcsd][debug][hs_transport_init] initialization
[Thu Feb 07 18:52:15.774 2013][libcsd][debug][hs_file_verify_with_killdate] verifying file signature: file = [/opt/cisco/anyconnect/lib/libaccurl.so.4.2.0], signer = [Cisco Systems, Inc.], type = [2] [Thu Feb 07 18:52:15.963 2013][libcsd][error][verify_cb] Error 10, certificate has expired [Thu Feb 07 18:52:15.963 2013][libcsd][error][verify_cert] Certificate is not trusted
[Thu Feb 07 18:52:15.964 2013][libcsd][error][hs_file_verify_with_killdate] unable to verify the certificate trust.
[Thu Feb 07 18:52:15.964 2013][libcsd][error][hs_dl_load_global] file signature invalid, not loading library (/opt/cisco/anyconnect/lib/libaccurl.so.4.2.0).

Nota: El mac y los usuarios de Windows no son afectados, porque el código del mac y de cliente de Windows marca solamente si el certificado era válido cuando el código fue firmado. Sin embargo, los códigos verifica de Linux la validez actual del certificado.

Solución

Puesto que el problema se causa por la fecha la cual el certificado fue firmado, usted puede cambiar el reloj del sistema para permitir que el usuario conecte; sin embargo, esto no es un arreglo.

El Id. de bug Cisco CSCue49663 (clientes registrados solamente) fue clasifiado para resolver este problema. Para conseguir el arreglo, la actualización a la versión 3.1.02043 de AnyConnect y a la versión 3.0.11046 del motor de HostScan como se muestra aquí:

webvpn 
enable outside 
csd hostscan image disk0:/hostscan_3.1.02043-k9.pkg
csd enable 
anyconnect image disk0:/anyconnect-win-3.1.02040-k9.pkg 1 regex "Windows NT" 
anyconnect image disk0:/anyconnect-macosx-i386-3.1.02040-k9.pkg 2 regex "Mac OS" 
anyconnect image disk0:/anyconnect-linux-3.1.02043-k9.pkg* 3 regex "Linux"

Los links conectan con las versiones correctas de las descargas del software (clientes registrados solamente).

Información Relacionada


Comunidad de Soporte de Cisco - Conversaciones Destacadas

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas. Aquí están algunas de las charlas más importantes presentadas en nuestro foro.


Document ID: 116040