<![CDATA[ASA IKEv2 VPN с Cert Auth получает сообщение «policy <TP> rejected» (политика <TP> отклонена)]]>Я работаю над проблемой с двумя ASA в L2L с использованием IKEv2 Cert Auth. Аутентификация с помощью сертификатов, похоже, застревает. «debug crypto ca 14» показывает: PKI[9]: Оценка политики <trustpoint-name> для типа соединения 0x10
PKI[9]: pki_is_policy_match: политика <trustpoint-name> отклонена (использование: 6784). conn_type 16 не разрешен Я не нашел никаких упоминаний о «conn_type 16». Подозреваю, что это связано с характером сертификатов, используемых в обмене. Я экспериментировал с KU цифровой подписи, шифрованием ключей, невозможностью отказа от авторства (RFC 4945) и тестировал EKU аутентификации сервера, аутентификации клиента и даже тестировал 3 туннельных OID EKU, но без изменений. Кто-нибудь знает, почему моя аутентификация не проходит, или что такое conn_type 16?

]]>https://sla247.ru/forum/topic/2427/asa-ikev2-vpn-с-cert-auth-получает-сообщение-policy-tp-rejected-политика-tp-отклоненаRSS for NodeFri, 15 May 2026 02:12:01 GMTMon, 02 Mar 2026 12:43:33 GMT60<![CDATA[Reply to ASA IKEv2 VPN с Cert Auth получает сообщение «policy <TP> rejected» (политика <TP> отклонена) on Mon, 02 Mar 2026 12:43:40 GMT]]>conn_type 16 <<- это для scap, а не для ipsec/ike MHM

]]>https://sla247.ru/forum/post/17040https://sla247.ru/forum/post/17040Mon, 02 Mar 2026 12:43:40 GMT<![CDATA[Reply to ASA IKEv2 VPN с Cert Auth получает сообщение «policy <TP> rejected» (политика <TP> отклонена) on Mon, 02 Mar 2026 12:43:39 GMT]]>Я полагаю, что «revocation-check none» является стандартным значением в ASA в настоящее время — SITE-1#
sho run all | beg CA-2025-EC
crypto ca trustpoint CA-2025-EC
revocation-check none
enrollment retry period 1
enrollment retry count 0
enrollment terminal
fqdn 172.31.5.2
no email
subject-name cn=SITE-1, C=US
no serial-number
no ip-address
no password
keypair 2025-Key-EC Кроме того, я позаботился об удалении записей AIA и CDP из своего шаблона сертификата, чтобы ни один из сертификатов VPN не имел определенного URL-адреса CDP/OCSP.

]]>https://sla247.ru/forum/post/17039https://sla247.ru/forum/post/17039Mon, 02 Mar 2026 12:43:39 GMT<![CDATA[Reply to ASA IKEv2 VPN с Cert Auth получает сообщение «policy <TP> rejected» (политика <TP> отклонена) on Mon, 02 Mar 2026 12:43:38 GMT]]>revocation-check crl none <<- добавить это MHM

]]>https://sla247.ru/forum/post/17038https://sla247.ru/forum/post/17038Mon, 02 Mar 2026 12:43:38 GMT<![CDATA[Reply to ASA IKEv2 VPN с Cert Auth получает сообщение «policy <TP> rejected» (политика <TP> отклонена) on Mon, 02 Mar 2026 12:43:37 GMT]]>MHM и wajidhassan – я хочу поблагодарить вас обоих! Вы поделились своими знаниями о VPN EKU, которые я не смог найти нигде в Интернете. Я создал новый шаблон CA с KU Key Agreement и Digital Signature и EKU IPSec IKE Intermediate, удалил старые конфигурации trustpoint, пересоздал новые trustpoint и убедился, что группы туннелей были настроены в соответствии с новыми trustpoint. К сожалению, все безрезультатно – та же ошибка. Затем я добавил Server Auth и Client Auth обратно в шаблон вместе с IPSec IKE Intermediate EKU – все безрезультатно. Я предоставляю конфигурации (соответствующую информацию), полную отладку и два снимка экрана сертификатов в надежде, что кто-то из вас найдет время, чтобы направить меня в правильном направлении. Заранее спасибо!!!

]]>https://sla247.ru/forum/post/17037https://sla247.ru/forum/post/17037Mon, 02 Mar 2026 12:43:37 GMT<![CDATA[Reply to ASA IKEv2 VPN с Cert Auth получает сообщение «policy <TP> rejected» (политика <TP> отклонена) on Mon, 02 Mar 2026 12:43:36 GMT]]>Эта ошибка означает, что ASA отклоняет сертификат, поскольку в нем отсутствуют правильное использование ключа и расширенное использование ключа для IKEv2 L2L VPN. Conn_type 16 относится к туннелям IKEv2 между сайтами. Сертификат должен включать промежуточный EKU IPSec IKE (OID 1.3.6.1.5.5.8.2.2) и иметь цифровую подпись в использовании ключа. EKU аутентификации сервера или клиента недостаточны. Для устранения проблемы необходимо перегенерировать сертификаты с правильными значениями EKU и KU.

]]>https://sla247.ru/forum/post/17036https://sla247.ru/forum/post/17036Mon, 02 Mar 2026 12:43:36 GMT<![CDATA[Reply to ASA IKEv2 VPN с Cert Auth получает сообщение «policy <TP> rejected» (политика <TP> отклонена) on Mon, 02 Mar 2026 12:43:35 GMT]]>EKU должен быть IP security IKE intermediate или
Any Purpose Also are you sure yoh add trust point under tunnel group MHM

]]>https://sla247.ru/forum/post/17035https://sla247.ru/forum/post/17035Mon, 02 Mar 2026 12:43:35 GMT<![CDATA[Reply to ASA IKEv2 VPN с Cert Auth получает сообщение «policy <TP> rejected» (политика <TP> отклонена) on Mon, 02 Mar 2026 12:43:34 GMT]]>ОБНОВЛЕНИЕ Добавление «
validation-usage ipsec
» в trustpoint привело к запуску VPN. MHM - wajidhassan - Спасибо за ваш вклад!!!!

]]>https://sla247.ru/forum/post/17034https://sla247.ru/forum/post/17034Mon, 02 Mar 2026 12:43:34 GMT