Error de la verificación de firma de AnyConnect Hostscan en Linux

Introducción

Este documento describe cómo resolver un error de conexión del Cliente de movilidad Cisco AnyConnect Secure si usted despliega Hostscan en Linux.

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

• Cisco AnyConnect
• (CSD) del Cisco Secure Desktop
• Linux

Componentes Utilizados

La información en este documento afecta a los usuarios de Linux que ejecutan CSD Hostscan.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Problema

Cuando un usuario de Linux ejecuta Cisco Anyconnect conjuntamente con CSD Hostscan, un mensaje de error aparece que indica que la evaluación de la postura fallada con un Hostscan inicializa el error:

En el archivo de libcsd.log, un mensaje de error indica que ha expirado el certificado usado para firmar el binario CSD Hostscan:

[Thu Feb 07 18:52:15.774 2013][libcsd][all][csd_init]
  hello
[Thu Feb 07 18:52:15.774 2013][libcsd][all][csd_init]
  libcsd.so version 3.1.02040
[Thu Feb 07 18:52:15.774 2013][libcsd][debug]
  [hs_transport_init] initialization
[Thu Feb 07 18:52:15.774 2013][libcsd][debug]
  [hs_file_verify_with_killdate] verifying file
  signature: file = [/opt/cisco/anyconnect/lib/libaccurl.so.4.2.0],
  signer = [Cisco Systems, Inc.], type = [2]
[Thu Feb 07 18:52:15.963 2013][libcsd][error][verify_cb]
  Error 10, certificate has expired
[Thu Feb 07 18:52:15.963 2013][libcsd][error][verify_cert]
  Certificate is not trusted
[Thu Feb 07 18:52:15.964 2013][libcsd][error]
  [hs_file_verify_with_killdate] unable to verify
  the certificate trust.
[Thu Feb 07 18:52:15.964 2013][libcsd][error][hs_dl_load_global]
  file signature invalid, not
  loading library (/opt/cisco/anyconnect/lib/libaccurl.so.4.2.0).

Nota: El mac y a los usuarios de Windows no afectan este problema. Esto es porque el código del mac y de cliente de Windows verifica que el certificado usado para firmar sea válido a la hora del código que firma, mientras que los códigos verifica del cliente de Linux si el certificado usado para firmar es actualmente válido.

Solución

Puesto que el problema se causa por la fecha la cual el certificado fue firmado, usted puede cambiar el reloj del sistema para permitir que el usuario conecte; sin embargo, esto no es un arreglo.

El Id. de bug Cisco CSCue49663 (clientes registrados solamente) fue clasifiado para resolver este problema. Para conseguir el arreglo, actualice a la versión 3.1.02043 de AnyConnect, o a la actualización solamente el paquete del motor de Hostscan a la versión 3.0.11046, como se muestra aquí:

webvpn 
enable outside 
csd hostscan image disk0:/hostscan_3.1.02043-k9.pkg
csd enable 
anyconnect image disk0:/anyconnect-win-3.1.02040-k9.pkg 1 regex "Windows NT" 
anyconnect image disk0:/anyconnect-macosx-i386-3.1.02040-k9.pkg 2 regex "Mac OS" 
anyconnect image disk0:/anyconnect-linux-3.1.02043-k9.pkg* 3 regex "Linux"

Nota: Estas tintas conectan con las versiones correctas de las descargas del software (clientes registrados solamente).