Sécurité : Client à mobilité sécurisé Cisco AnyConnect

Erreurs de vérification de signature de HostScan sur la résolution des problèmes de Linux

30 juillet 2013 - Traduction automatique
Autres versions: PDFpdf | Anglais (8 avril 2013) | Commentaires

Introduction

Ce document décrit comment résoudre une erreur de connexion de Client à mobilité sécurisé Cisco AnyConnect si vous déployez HostScan sur le Linux.

Contribué par des ingénieurs TAC Cisco.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

  • AnyConnect
  • Cisco Secure Desktop (CSD)
  • Linux

Composants utilisés

Les informations dans ce document affectent les utilisateurs de Linux qui exécutent CSD HostScan.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Problème

Si vous êtes un utilisateur de Linux qui exécute CSD HostScan, vous voyez un message d'erreur qui indique que l'estimation de posture a manqué avec un HostScan initialisez l'erreur :

116040-solution-anyconnect-01.png

Dans le fichier de libcsd.log, vous voyez également qu'un message d'erreur qui indique le certificat de signature de code CSD HostScan a expiré :

[Thu Feb 07 18:52:15.774 2013][libcsd][all][csd_init] hello
[Thu Feb 07 18:52:15.774 2013][libcsd][all][csd_init] libcsd.so version 3.1.02040
[Thu Feb 07 18:52:15.774 2013][libcsd][debug][hs_transport_init] initialization
[Thu Feb 07 18:52:15.774 2013][libcsd][debug][hs_file_verify_with_killdate] verifying file signature: file = [/opt/cisco/anyconnect/lib/libaccurl.so.4.2.0], signer = [Cisco Systems, Inc.], type = [2] [Thu Feb 07 18:52:15.963 2013][libcsd][error][verify_cb] Error 10, certificate has expired [Thu Feb 07 18:52:15.963 2013][libcsd][error][verify_cert] Certificate is not trusted
[Thu Feb 07 18:52:15.964 2013][libcsd][error][hs_file_verify_with_killdate] unable to verify the certificate trust.
[Thu Feb 07 18:52:15.964 2013][libcsd][error][hs_dl_load_global] file signature invalid, not loading library (/opt/cisco/anyconnect/lib/libaccurl.so.4.2.0).

Remarque: Les utilisateurs de Mac et Windows ne sont pas affectés, parce que code client de Mac et Windows vérifie seulement si le certificat était valide quand le code a été signé. Cependant, code Linux vérifie la validité en cours du certificat.

Solution

Puisque le problème est provoqué par d'ici la date à l'où le certificat a été signé, vous pouvez changer l'horloge système pour permettre à l'utilisateur pour se connecter ; cependant, ce n'est pas une difficulté.

L'ID de bogue Cisco CSCue49663 (clients enregistrés seulement) a été classé pour résoudre ce problème. Afin d'obtenir la difficulté, la mise à jour à la version 3.1.02043 d'AnyConnect et à la version 3.0.11046 d'engine de HostScan comme affiché ici :

webvpn 
enable outside 
csd hostscan image disk0:/hostscan_3.1.02043-k9.pkg
csd enable 
anyconnect image disk0:/anyconnect-win-3.1.02040-k9.pkg 1 regex "Windows NT" 
anyconnect image disk0:/anyconnect-macosx-i386-3.1.02040-k9.pkg 2 regex "Mac OS" 
anyconnect image disk0:/anyconnect-linux-3.1.02043-k9.pkg* 3 regex "Linux"

Les liens se connectent aux bonnes versions des téléchargements logiciels (clients enregistrés seulement).

Informations connexes


Communauté de support Cisco - Conversations à l'affiche

La Communauté de support Cisco est un forum où vous pouvez poser vos questions et répondre à d'autres, offrir des conseils et collaborer avec des collègues. Voici quelques séances parmi les plus récentes et importantes présentées dans notre forum.


Document ID: 116040