我正在尝试在 Fedora 19 机器上设置来自 Cisco 的anyconnect。我已经从运行 VPN 的组织那里收到了一些证书,但我和他们的 IT 人员之间存在多层关系,尝试获得任何支持非常痛苦,所以我希望这里有人能够帮助我。
当我访问 VPN 网站时,我看到“证书验证失败”错误,当我尝试使用客户端时,也会出现类似的错误vpnui
。
我曾尝试添加 2 个 .cer 证书,然后/etc/pki/ca-trust/source/anchors
运行update-ca-trust extract
。执行此操作时,我确实看到一条与其中一个证书相关的消息:
p11-kit:在 ca-bundle.trust.crt 中找到重复的“AddTrust 外部 CA 根”证书
并且出现了 5 次。
访问网站(使用 Chrome 和 Firefox)以及使用vpnui
客户端仍然会产生相同的“证书验证失败”
我的谷歌搜索显然在这方面非常薄弱,因为我没有找到任何可以帮助我弄清楚下一步要尝试什么的东西。任何指示都将非常受欢迎。
更新:虽然现在我已经将个人证书导入到浏览器中,这似乎很高兴,但在我看来,以下是openssl s_client -CAfile <path/to/ca.pem> -connect <server:port>
使用我的个人证书或两个cer
文件之一作为 CAfile 和适当的服务器:端口运行时出现的错误消息:
验证返回码:20(无法获取本地颁发者证书)
显然还有更多的输出,但是如果没有对安全影响有很好的内部处理,我不愿意分享太多关于它的具体细节。
他们给我的第三个证书似乎工作正常,我得到了0
该证书的返回代码。
我开始相信这个问题可能错误地识别了原来的问题。
答案1
使用 Firefox 导入我的个人证书可以让 Firefox 和客户端都vpnui
解决证书错误。由于某种原因,通过 Chrome 导入不允许客户vpnui
端通过,尽管它可以进入登录页面本身。