miarai 様

返信ありがとうございます。

> 基本的に profile での証明書の自動選択を使用していないのであれば、

> anyconnect の権限で使用できるクライアント証明書が全て選択肢として表示されると思います。

了解です。

> 失効状態の差異以外に、有効期限、証明書ストアの場所など何か差異があるという事はありますでしょうか。

証明書Aを発行後、クライアントの個人にインストール，AnyConnect 接続　→　接続ＯＫ（正常）

RADIUS 側で証明書Ａを失効，AnyConnect 接続　→　Certification Valdation Failure（正常）

証明書Ｂを発行後、クライアントの個人にインストール，AnyConnect 接続　→　証明書選択は表示されず、Certification Valdation Failure （異常？ 想定外）

特に失効状態以外に差異があるとは思えません。

失効済み証明書Aをクライアントの個人から削除，AnyConnect 接続　→　接続ＯＫ（正常）

と言う状況です。

> 証明書に何らかの問題があったり、権限の関係で、出力されないなどが考えられます

何らか調査する方法はあるのでしょうか

ご存知であればご教授ください。

よろしくお願いいたします。

>特に失効状態以外に差異があるとは思えません。

>失効済み証明書Aをクライアントの個人から削除，AnyConnect 接続　→　接続ＯＫ（正常）

>と言う状況です。

なるほど。そうしますと、anyconnect に何かそのような要因につながるような実装上の

制限が存在することも疑えますね。profile にて証明書の自動選択を利用していないにも

関わらず、証明書の選択画面がでない、というのも気になります。

>> 証明書に何らかの問題があったり、権限の関係で、出力されないなどが考えられます

>何らか調査する方法はあるのでしょうか

>ご存知であればご教授ください。

接続時の DART を取得いただき、anyconnect.log をご確認いただくことで、ASA 自身が

いくつの証明書を検知したのかが出力されたはずです。また、証明書の選択に関わる

なんらかのログが出力される可能性もありますので、一度取得いただき、共有いただければ

と思います。

どうぞ宜しくお願い致します。

miarai 様

返信ありがとうございます。

> 接続時の DART を取得いただき、anyconnect.log をご確認いただくことで、ASA 自身がいくつの証明書を検知したのかが出力されたはずです。

了解です。

> また、証明書の選択に関わるなんらかのログが出力される可能性もありますので、一度取得いただき、共有いただければと思います。

すでにテスト環境にて使用していた RADIUS は貸与品のためメーカ返却しました。

現在、ASA5525x で導入提案をしておりますが、導入決定頂きますと７月頃にお客様導入環境で再確認が必要となってきます。

同様の現象が発生するようであれば、ご教授頂いた方法でログを収集し動作を確認してみます。

情報収集でき、可能であれば共有も考慮したいと思います。

いろいろアドバイス頂き、ありがとうございました。

ご連絡有難うございます。

仮に、お客様環境にインストール後も同じような事象でお困りになるようであれば、

改めてご連絡いただければと思います。

また、弊社との保守契約をお持ちでしたら、TAC ケースオープンも視野に入れて

いただければ、よりタイムリーな対応が可能かと思いますので、是非ご検討

下さいませ。

どうぞ宜しくお願いいたします。