windows 7 无法打开ASDM ASA SSL ×××首页

 

用火狐浏览器报错如上图所示:

175831539.png
背景介绍
ASA上配个SSL ××× 或者起个ASDM管理界面,费了半天劲,IEFirefox浏览器里出来的是无法访问,一遍遍查配置,没问题啊,再试试,还是无法访问,怎么办,往下看。
拓扑

180032581.jpg

 

排错
碰到这种情况,排错思路如下,logging,看看IEASA哥俩都聊什么了。
ciscoasa(config)#loggingbuffered debugging开启debug级别的log记录
ciscoasa(config)#loggingbuffer-size 1048576logbuffer调大,要不寄存器会被冲刷
ciscoasa(config)#loggingon 

这个时候我们重新用win7IE访问ASA首页,然后在ASAshow logging
%ASA-7-609002: Teardown local-host outside:10.1.1.1 duration0:01:05
%ASA-7-609002: Teardown local-host identity:10.1.1.10 duration 0:01:05
%ASA-6-725007: SSL session with client outside:10.1.1.1/1084 terminated.
%ASA-7-609001: Built local-host outside:10.1.1.2
%ASA-7-609001: Built local-host identity:10.1.1.10
%ASA-6-302013: Built inbound TCP connection 14 for outside:10.1.1.2/49177(10.1.1.2/49177) to identity:10.1.1.10/443 (10.1.1.10/443)
%ASA-6-725001: Starting SSL handshake with client outside:10.1.1.2/49177 forTLSv1 session.
%ASA-7-725010: Device supports the following 1 cipher(s).
%ASA-7-725011: Cipher[1] : DES-CBC-SHA
%ASA-7-725008: SSL client outside:10.1.1.2/49177 proposes the following 8cipher(s).
%ASA-7-725011: Cipher[1] : AES128-SHA
%ASA-7-725011: Cipher[2] : AES256-SHA
%ASA-7-725011: Cipher[3] : RC4-SHA
%ASA-7-725011: Cipher[4] : DES-CBC3-SHA
%ASA-7-725011: Cipher[5] : DHE-DSS-AES128-SHA
%ASA-7-725011: Cipher[6] : DHE-DSS-AES256-SHA
%ASA-7-725011: Cipher[7] : EDH-DSS-DES-CBC3-SHA
%ASA-7-725011: Cipher[8] : RC4-MD5
%ASA-7-725014: SSL lib error. Function: SSL3_GET_CLIENT_HELLOReason: no shared cipher
%ASA-6-302014: Teardown TCP connection 14 for outside:10.1.1.2/49177 toidentity:10.1.1.10/443 duration 0:00:00 bytes 7 TCP Reset by appliance
%ASA-7-609002: Teardown local-host outside:10.1.1.2 duration 0:00:00
%ASA-7-609002: Teardown local-host identity:10.1.1.10 duration 0:00:00

看到用红色字体标出来的那行了吗,是双方的ssl加密方法不匹配,既然IE看不懂ASA的加密方式,那咱们就让ASA多几种加密方式,先看看ASA会说什么。
cisco(config)#showssl
Accept connections using SSLv2, SSLv3 or TLSv1 and negotiate to SSLv3 or TLSv1
Start connections using SSLv3 and negotiate to SSLv3 or TLSv1
Enabled cipher order: des-sha1
Disabled ciphers: 3des-sha1 rc4-md5 rc4-sha1aes128-sha1 aes256-sha1 null-sha1
No SSL trust-points configured
Certificate authentication is not enabled
看到了吧,ASA只会说des-sha1这种鸟文,不多说,让ASA学外语
ciscoasa(config)# ssl encryption3des-sha1 aes128-sha1 aes256-sha1 rc4-md5 rc4-sha1
如果当你敲完上面的命令^这个东西出来了,看看ASAlicense
cisco(config)#show version
Licensed features for this platform:
Maximum Physical Interfaces       :Unlimited      perpetual
Maximum VLANs                    : 100           perpetual
InsideHosts                     : Unlimited      perpetual
Failover                         : Active/Active  perpetual
×××-DES                          : Enabled        perpetual
×××-3DES-AES                     : Disabled      perpetual
SecurityContexts                :5             perpetual
GTP/GPRS                         : Disabled       perpetual
AnyConnect Premium Peers         : 25            perpetual
AnyConnectEssentials            : Disabled       perpetual
Other ×××Peers                  : 5000           perpetual
Total ×××Peers                  :0             perpetual
SharedLicense                   : Enabled        perpetual
AnyConnect forMobile            : Enabled        perpetual
AnyConnect for Cisco ××× Phone    :Enabled        perpetual
Advanced Endpoint Assessment      :Enabled        perpetual
UC Phone ProxySessions           :10            perpetual
Total UC ProxySessions           :10            perpetual
Botnet TrafficFilter            : Enabled        perpetual
Intercompany Media Engine         :Enabled        perpetual

没有3deslicense,咋办?点下面的连接申请个3deslicense,免费的
https://cisco.com/go/license
180352259.jpg

把序列号填进去,一会cisco就给你邮箱发邮件了,把邮件里的keyASA上激活
ciscoasa(config)# activation-key**** **** **** ****
激活之后,再让ASA支持3des-sha1命令如下:
ciscoasa(config)#ssl encryption 3des-sha1 aes128-sha1 aes256-sha1 rc4-md5 rc4-sha1

好了,现在就可以了,弹出了如下页面:

180454840.png
总结
以上的总结问题的关键就是思路,浏览器打不开了,你也不知道为什么,怎么办,ASA上开log或者debug,你得搞明白IEASA聊了些啥话。