ASA IKEv2 VPN с Cert Auth получает сообщение «policy <TP> rejected» (политика <TP> отклонена)
-
Я работаю над проблемой с двумя ASA в L2L с использованием IKEv2 Cert Auth. Аутентификация с помощью сертификатов, похоже, застревает. «debug crypto ca 14» показывает: PKI[9]: Оценка политики <trustpoint-name> для типа соединения 0x10
PKI[9]: pki_is_policy_match: политика <trustpoint-name> отклонена (использование: 6784). conn_type 16 не разрешен Я не нашел никаких упоминаний о «conn_type 16». Подозреваю, что это связано с характером сертификатов, используемых в обмене. Я экспериментировал с KU цифровой подписи, шифрованием ключей, невозможностью отказа от авторства (RFC 4945) и тестировал EKU аутентификации сервера, аутентификации клиента и даже тестировал 3 туннельных OID EKU, но без изменений. Кто-нибудь знает, почему моя аутентификация не проходит, или что такое conn_type 16? -
ОБНОВЛЕНИЕ Добавление «
validation-usage ipsec
» в trustpoint привело к запуску VPN. MHM - wajidhassan - Спасибо за ваш вклад!!!! -
EKU должен быть IP security IKE intermediate или
Any Purpose Also are you sure yoh add trust point under tunnel group MHM -
Эта ошибка означает, что ASA отклоняет сертификат, поскольку в нем отсутствуют правильное использование ключа и расширенное использование ключа для IKEv2 L2L VPN. Conn_type 16 относится к туннелям IKEv2 между сайтами. Сертификат должен включать промежуточный EKU IPSec IKE (OID 1.3.6.1.5.5.8.2.2) и иметь цифровую подпись в использовании ключа. EKU аутентификации сервера или клиента недостаточны. Для устранения проблемы необходимо перегенерировать сертификаты с правильными значениями EKU и KU.
-
MHM и wajidhassan – я хочу поблагодарить вас обоих! Вы поделились своими знаниями о VPN EKU, которые я не смог найти нигде в Интернете. Я создал новый шаблон CA с KU Key Agreement и Digital Signature и EKU IPSec IKE Intermediate, удалил старые конфигурации trustpoint, пересоздал новые trustpoint и убедился, что группы туннелей были настроены в соответствии с новыми trustpoint. К сожалению, все безрезультатно – та же ошибка. Затем я добавил Server Auth и Client Auth обратно в шаблон вместе с IPSec IKE Intermediate EKU – все безрезультатно. Я предоставляю конфигурации (соответствующую информацию), полную отладку и два снимка экрана сертификатов в надежде, что кто-то из вас найдет время, чтобы направить меня в правильном направлении. Заранее спасибо!!!
-
revocation-check crl none <<- добавить это MHM
-
Я полагаю, что «revocation-check none» является стандартным значением в ASA в настоящее время — SITE-1#
sho run all | beg CA-2025-EC
crypto ca trustpoint CA-2025-EC
revocation-check none
enrollment retry period 1
enrollment retry count 0
enrollment terminal
fqdn 172.31.5.2
no email
subject-name cn=SITE-1, C=US
no serial-number
no ip-address
no password
keypair 2025-Key-EC Кроме того, я позаботился об удалении записей AIA и CDP из своего шаблона сертификата, чтобы ни один из сертификатов VPN не имел определенного URL-адреса CDP/OCSP. -
conn_type 16 <<- это для scap, а не для ipsec/ike MHM
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти