我正在尝试在我的 Cisco ASA 5515 上安装证书。它以我的本地 Windows 2012 CA 作为受信任的 CA。域也已将此 CA 应用于其受信任的根。
每当我尝试通过 anyConnect VPN 从外部连接时,我都会收到不受信任的证书错误,具体来说是“证书与服务器名称不匹配”。
设备主机名为vpn
,域名为example.com
。证书cn=vpn.example.com
由 颁发给cn=corp-dc1-CA,dc=corp,dc=example,dc=com
。
我确实配置了 2 个自治域:corp.example.com
是未在 GoDaddy 注册的内部域;example.com
已在 GoDaddy 注册。
我使用来自 ASA 的 CSR 在我的 CA 上生成证书并在我的 ASA 上安装了新证书,但仍然没有运气。
答案1
你可能已经修复了这个问题,但我发现的修复方法是
- 确认证书已根据信任点安装且有效 — 检查 ASA 上的日期和时间以及证书上的开始和到期时间!
确保您输入的命令将信任点与将接收 VPN 请求的外部接口关联起来;这通常是解决办法。
ssl trust-point "Trustpoint_name" Interface_Name