思科anyconnect 证书报错问题解决方案

已于 2024-05-17 07:01:35 修改
阅读量1.8k 收藏 6
点赞数 5
文章标签: 服务器 运维
于 2024-05-15 10:44:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/normanhere/article/details/138899020
版权

由于从win10开始系统强制要验证证书的有效性,某些安装了思科anyconnect客户端会提示证书无效,或者证书颁发机构和CN不一致,或者证书不受信任等问题。这里我们通过一系列操作来解决这些问题。下图是其中一个报错截图。

1426b6b3bd8f4070907019b39bdd947f.png

思科anyconnect vpn客户端关于证书的报错一般包括如下3种:
1、证书无效
2、证书名称不一致
3、证书不受信任
 
一般中小公司的做法通常是有一个固定ip的专线出口连接防火墙或者路由器,并不会去申请注册一个域名,也不会去公共CA机构去申请证书,因为上述2种操作都每年都需要续费。常见的做法AD域是公司内部域名,然后网站托管给第三方运营;证书颁发机构一般使用内网的微软服务器搭建,或者设备自签发证书,用于内部用途。

然而上述这种情况下如果使用思科防火墙或者路由器配合使用anyconnect vpn ,设备使用自签名证书,保持默认参数不变的话,证书的CN和FQDN默认就会使用hostname.domain name的格式。这样当客户端下载过来证书,要去证书颁发机构核验证书的时候会发现该域名无法在公共互联网上解析,因为公司内部的域名并没有在互联网上注册。

所以在设备自签发证书的时候以思科ASA防火墙为例(使用ASDM,定位到证书管理页面,点击新增自签发证书),这里的CN(common name)应该填写设备外网的企业专线的IP地址,而不应该是系统默认的设备的hostname,客户端虽然不能解析公司内部域名,却可以到达专线IP地址。 

cba9b9a04dea41aba9388dea3e1ee896.png 

此外,由于客户将使用证书的FQDN来对证书的办法机构进行认证,所以这里应该接着点上面那个菜单的Advanced...,将这里的FQDN值改为设备外网的企业专线的IP地址,而不应该使用设备系统默认的hostname.domain name的格式(互联网无法解析) 

023df736947f4ca184ba040259b0950a.png 

最后设备自签发证书完成以后,需要到anyconnect vpn界面选择该证书用途为设备通用。(记住证书是有用途的,用途不同,客户端也会报错)

f48e720f64ab45f1b2af29aca9c11953.png 

这样就不会报证书无效的错误,因为公网IP客户端是可以解析的,然后客户端去证书颁发机构查询该证书是否有效的时候(时间 用途 颁发给谁)就能够找到证书办法机构,从而验证证书的有效性。并且使用FQDN也避免了证书名称和设备hostname不一致的问题。

c5a23206853a48f5ad4c21f8cc5878a1.png 

针对不受信任的证书问题,处理办法是将设备的自签名证书的公钥导出到文件,记住只需要导出公钥。

12ffde8602c04771884d16b6c74fb813.png 

将导出的公钥,通过域控组策略下发到受信任的根证书颁发机构,或者直接本地导入的方式,让客户端信任该设备,就能避免每次跳弹窗的提示,导入后如下图。

b091e6f0447d4aa48bf3c1807a8e487d.png 

 

normanhere
关注
⭐️Web安全之构建可信任的合作环境
AI天才研究院
08-06 1286
随着互联网信息化、云计算和物联网技术的普及,网络安全越来越成为重中之重要。而Web安全又是信息安全的一种重要组成部分,也是最容易被忽视的环节。在这个大的主题下,我们要谈如何构建可信任的合作环境,让Web安全从简单的防火墙演进到更加复杂的攻击面分析和预防手段。构建可信任的合作环境至关重要。首先,需要搞清楚我们的目标。我们的目标不仅仅是保护用户隐私信息,更重要的是建立起互信和信任。基于互信和信任建立的基础上,才能建立起专业的沟通机制,实现信息共享和协同工作。其次,要保证我们的技术能力和能力规模。
CCIE重认证350-401
stqer的博客
01-04 3001
traffic policing: causes TCP retransmissions when traffic is dropped导致TCP重传时流量下降 introduces no delay and jitter引入无延迟和抖动 drops excessive traffic减少过多的流量 traffic shaping: buffers excessive traffic缓冲过多的流量 introduces delay and jitter引入延迟和抖动 applied on traffic t
Cisco AnyConnect 报错 connection failed due to unsuccessful domain name resolution
Debug yourself!
04-25 1万+
因为疫情,公司做好了线上办公的准备,给了我们VPN,使用的是Cisco AnyConnect。 今天在公司电脑上安装后我连上了内网,有几个同事却连不上,报错The VPN connection failed due to unsuccessful domain name resolution。 问运维,他说是因为我们本身在内网,所以不能通过内网连上内网,然鹅,我是怎么连上的呢? 所以应该不是这个原因,网上搜了搜,发现是因为ipv4没有设置自动获得DNS服务器地址,导致内网地址解析失败,我因为设置的是自动获得
Mac 之 AnyConnect 安装失败
天尽头流浪的博客
11-08 1571
如果安装失败可能是以前安装没有卸载干净,需要执行以下命令。
windows 10系统(64位或者32位)下使用Cisco Any Connect进行成功拨号
missautumn的专栏
06-20 1万+
背景 以前一直在Windows 7下使用Cisco Any Connect拨号后访问国外资源。但是最近一不小心将系统升级为Windows 10 64位系统,在安装Cisco安装包和拨号时遇到不少问题。 收集了一下网上类似的问题,并于此做一下总结,希望可以让有同样需求的童鞋节省点时间。一下位具体的步骤, 步骤 一、安装winfix.exe 二、安装dneupdate64.msi,然
CISCO ANYCONNECT 一直连接不上,打开点击连接就闪退 或 卡在“Hostscan mission complete” or “Hostscan state idle“
热门推荐
CSDN
01-09 3万+
遇到问题 1.公司VPN,在电脑重启后,一直无法连接vpn,打开 输入vpn地址,点击连接就会闪退 2.尝试卸载重装就会卡在 登录页面,设置——Message History报“Hostscan mission complete” or "Hostscan state idle" 3.网络连接这里一直处于禁用状态——下面图是正常的情况,我遇到是“禁用,启用就会报‘网络电缆被拔出’” 解决思路: 1.重启电脑大法,重启电脑——均无法解决 2.重启无法解决,卸载Cisco An...
使用 CiscoAnyConnect 连接VPN报DNS相关的错误解决方案
hkl_Forever的博客
06-08 4492
在使用 CiscoAnyConnect 连接VPN的时候提示DNS相关的错误,可能是隔离了驱动 acsock64.sys 文件导致的,为了解决这个问题,找了很多方式,终于找到如下这个解决方案,可以解决。使用安全相关软件,打开主界面,找到路径 系统修复>恢复区>可恢复区 然后找到如下图文件,选中点击恢复,应该大概率会解决此问题。恢复到信任区即可,最后成功连接vpn,正常使用。
AnyConnect was not able to establish connection to the specified secure gateway
weixin_48105854的博客
02-14 7783
讲述一下在使用Cisco AnyConnect Secure Mobility Client连接公司VPN遇到AnyConnect was not able to establish connection to the specified secure gateway的解决方法。 我的是Win11系统。安装的版本是3.0。
Cisco连接报AnyConnect was not able to establish connection to the specified secure gateway
sinat_35073873的博客
03-26 5759
AnyConnect was not able to establish connection to the specified secure gateway
域名解析不了
ziruominglin的专栏
07-14 817
看下网卡的域名解析服务器
BGP路由器协议排错教程:BGP 对等体失效的问题
weixin_70374410的博客
06-14 3250
当一个已经配置好的 BGP 邻居并没有处于已建立状态的话,网络工程师就把这种情况称为 BGP 对等体失效。以下情况都有可能引发对等体失效的问题。 ? 由于配置错误导致 BGP 会话停留在建立过程中。 ? 由网络迁移或事件触发的失效,或者由软件或硬件升级触发的失效。 ? 由于传输问题导致维护 BGP 的存活消息传输失败。 ? CPU 利用率过高。 ? 处理过程受阻或被卡住。 ? 防火墙或 ACL 的错误配置。 ? 软件缺陷。 失效的 BGP 对等体状态分为两种:Idle(空闲)状态和 Active(活跃)状态
Ubuntu Linux 解决 bash ./ 没有那个文件或目录 的方法
weixin_44170239的博客
11-14 2万+
Ubuntu Linux 解决 bash ./ 没有那个文件或目录 的方法 在运行虚拟机时编译文件提示./ 没有那个文件或目录,参考其他博主用这个命令下载,但是没有解决。 又换了一种命令,输入: sudo apt-get install ia32-libs 报错: 现在没有可用的软件包 ia32-libs,但是它被其它的软件包引用了。 这可能意味着这个缺失的软件包可能已被废弃, 或者只能在其他发...
OpenStack
游离态De猫
11-01 6122
OpenStack概述 OpenStack是一个免费开放源代码的云计算平台,用户可以将其部署成为一个基础设施即服务(Iaas)的解决方案。OpenStack不是一个单一的项目,而是由许多相关的项目组成,包括Nova、Swift、Keystone、Horizon等。这些项目分别实现了不同的功能,例如弹性计算服务、对象存储服务、虚拟机磁盘镜像服务、安全统一认证服务以及管理平台 OpenStack最...
iphone已经信任anyproxy证书,还是提示无效
小唯一的博客
09-18 1423
iphone已经信任anyproxy证书,还是提示证书无效。这个问题困扰了我很久。以前设置好了都可以用,现在却不行了? 唯一的区别就是手机升级过了。 IOS 13 no longer trust CAs using RSA keys smaller than 2048 bits, while anyproxy using 1024 bits. anyproxy use node-easy-cert to generate root CAs. ios13不支持小于2048位的证书了,看来是我..
Cisco ×××登录失败(connection failed),没有错误代码。
weixin_34128237的博客
03-28 2391
昨天登录×××远程其他主机,×××连接总是失败,如图: 1.输入用户名和密码点击connect。 2.弹出错误提示框 3.登录失败了 今天终于有时间找原因了,在“checking for product updates”时失败,应该是网络的问题。忽然想起来上次登录×××后修改了internet选项。打开IE浏览器,工具—>In...
Cisco Anyconnect 连接时提示“您当前所在位置的运营商限制对互联网进行访问。您需要通过服务提供程序登录后才能建立VP会话。您可以尝试使用浏览器访问任意网站来执行此操作”
jammycn80的博客
12-17 766
Cisco Anyconnect连接时提示“您当前所在位置的运营商限制对互联网进行访问。您需要通过服务提供程序登录后才能建立会话。
安装配置 AnyConnect 证书登录
swichent的博客
06-07 2174
把 pki/client/soli/soli-cert.p12 (其中的两个 soli 换成你自己的名字)通过邮件或其他方式发送到手机,并安装。同样的,把 solicomo.com 替换成你自己的服务器域名或 IP。还有个问题就是,如果这台服务器上的 ocserv 有很多人共用,并且某天想把其中的一个人剔除出去,该怎么办呢?这一步『参考文章』里也有说明,网上也很容易搜到如何把服务证书设置为『信任』。和证书相关的就这四项,其他配置项及防火墙配置请参见上面的『参考文章』。ocserv 的 man 手册。
Cisco AnyConnect 提示 Untrusted Server Blocked!
jammycn80的博客
12-17 415
直接点击Change Setting...
域名管理常见问题:域名解析不生效的原因和解决方法(中科三方)
weixin_53018687的博客
09-14 1999
很多网站运营者经常会遇到域名解析不生效的情况,今天中科三方就简单为大家介绍几种解析不生效的原因。 1.域名过期 域名到期后,原解析将会失效,所以网站管理者要时刻关注域名的到期情况,及时续费,避免因域名过期导致的解析生效甚至是域名被抢注的情况发生。 2.解析记录被修改,未过TTL值 如果修改了解析记录,因为TTL值的存在,会导致递归域名服务器不能及时更新解析结果而影响解析生效。所以需要等过了TTL之后新的解析记录才会生效。TTL值的大小不定,根据个人的需求而定,所以域名生效时间也不固定。所以在修改DNS服务器
单位在机房服务器部署了deepseek,我在电脑下载安装了anything怎么连接已经部署的deepseek
最新发布
02-25
<think>好的,我现在需要帮用户解决如何通过他们单位在机房服务器部署的DeepSeek,以及在他们自己电脑上安装的“anything”来连接的问题。首先,我需要弄清楚用户提到的“anything”具体指什么,因为这个名字可能代表不同的软件或工具,比如下载工具、SSH客户端,或者某种代理软件。用户可能在这里存在表述不准确的情况,所以需要进一步确认。 接下来,用户的问题核心是连接已部署的DeepSeek服务。DeepSeek可能是一个企业内部部署的AI模型服务,类似于公司的私有ChatGPT。要连接这样的服务,通常需要知道访问的URL、端口、认证方式(如API密钥、用户名密码等),以及可能的网络权限,比如是否需要VPN或者内网访问。 用户提到在电脑上安装了“anything”,可能是指某种客户端软件,或者用户可能误用了名字。这时候需要引导用户明确他们安装的具体工具是什么,例如是否是一个自定义的客户端、Postman这样的API测试工具,或者是其他类型的连接工具。 可能的步骤包括: 1. 确认用户安装的“anything”具体是什么,是否需要配置服务器地址和认证信息。 2. 检查网络连接,确保用户的电脑可以访问机房服务器的IP和端口,可能需要联系IT部门开通权限或配置VPN。 3. 获取DeepSeek服务的API文档或连接指南,按照指引配置客户端参数,如API密钥、端点URL等。 4. 测试连接,处理可能出现的错误,如网络超时、认证失败等。 另外,用户可能需要联系单位的IT支持团队获取具体的连接配置信息,因为内部部署的服务通常有特定的访问流程和安全措施。如果用户没有足够的权限或信息,可能需要进一步的协助申请。 总结下来,我需要逐步引导用户明确他们使用的工具,检查网络连接,获取必要的访问凭证,并按照文档配置连接。同时,提醒用户遵循公司的IT政策,确保连接过程符合安全规范。</think>要连接单位机房服务器上部署的DeepSeek服务,需按以下步骤操作: ### 1. **确认基础信息** - **服务地址**:向IT部门获取DeepSeek的访问URL或IP地址(如 `http://10.0.0.100:8000`)。 - **认证方式**:确认是否需要API Key、账号密码或Token(例如 `Bearer Token: xyz123`)。 ### 2. **网络权限检查** - 确保你的电脑与机房服务器网络互通,可能需要: - 连接公司内网(有线/WiFi)。 - 使用VPN(如Cisco AnyConnect,配置服务器地址 `vpn.company.com`)。 - 测试连通性:在终端运行 `ping 10.0.0.100` 或 `telnet 10.0.0.100 8000`。 ### 3. **配置客户端工具** - 根据你安装的“Anything”工具类型操作: - **若为API工具(如Postman)**: 1. 新建请求,选择POST方法。 2. 输入URL:`http://10.0.0.100:8000/api/v1/generate` 3. Headers中添加认证:`Authorization: Bearer xyz123` 4. Body填写JSON参数(示例): ```json { "prompt": "你好", "max_tokens": 50 } ``` - **若为专用客户端**:在设置页填写服务地址和认证信息。 - **若为代码调用**:使用Python示例: ```python import requests response = requests.post( "http://10.0.0.100:8000/api/v1/generate", headers={"Authorization": "Bearer xyz123"}, json={"prompt": "你好", "max_tokens": 50} ) print(response.json()) ``` ### 4. **常见问题处理** - **连接超时**:检查防火墙是否放行端口(如8000)。 - **403错误**:确认API Key是否失效,需联系IT更新。 - **502错误**:可能是服务未运行,联系运维重启服务。 ### 5. **联系支持** - 若仍失败,提供具体报错信息(如 `ERROR 503: Service Unavailable`)并联系IT部门。 **注意**:部分企业会限制访问权限,需先申请审批后方可连接。确保操作符合公司信息安全政策。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值