解決済み: ASAで証明書認証が失敗してしまう（Certificate Validation Failure）

fxlateengineer · ‎2017-07-22

Platform: ASA5520

ASA Version: 8.4(2)

ASDM Version: 6.4(7)

Anyconnect client software version: 4.4.00243

Client OS: Windows 7 Service Pack1

上記環境にてSS-VPN環境を構築しています。VPN認証方式に証明書認証を使用したいのですが、Certificate Validation Failureとエラーメッセージが表示されて接続できません。

環境は以下URLを参考に設定しています。

https://supportforums.cisco.com/blog/152941/anyconnect-certificate-based...

証明書はWindowsにインストールしたopensslを使用して発行しています。クライアント証明書のissuer nameは上位証明書のsubjectに一致しており、証明書も下記コマンドで検証しましたが問題ないようにみえます。

D:\Apache Software Foundation\Apache2.2>openssl verify -purpose sslclient -CAfile cacert.pem client_cert.pem
client_cert.pem: OK

D:\Apache Software Foundation\Apache2.2>

また、クライアント証明書は、ユーザ証明書ストアとコンピュータ証明書ストアのいずれにもインポートしています。なお、証明書認証をユーザ認証に変えると問題なく接続できます。

SSL-VPN接続時のログでは以下のようなメッセージを確認できました。

・Certificate chain was successfully validated with warning, revocation status was not checked.

・Tunnel group search using certificate maps failed for peer certificate

証明書のマッピングに失敗しているようなログに見えますが、このエラーメッセージの回避方法をご教授頂けないでしょうか。

Akira Muranaka · ‎2017-07-28

fxlateengineerさん、こんにちわ。

まず、ご利用のASAソフトウェアバージョンが、かなり古いため、8.4トレインの最新バージョン 8.4(7)31などに更新されては如何でしょうか。 8.4(2)は 8.4系の初期リリースで 8.4系はけっこうAnyConnect仕様変更もあるので、初期リリースは少なくないAnyConnect関連の不具合や複数の脆弱性を持ってます。 8.4(2)→8.4(7)31で数百個以上の不具合修正や脆弱性対応ができます。アップグレード方法は以下URLなどが参考になるかと思います。

https://supportforums.cisco.com/ja/document/12327751

脆弱性情報は以下URL等で確認できます。

http://www.cisco.com/c/en/us/support/security/asa-5500-series-next-generation-firewalls/products-security-advisories-list.html

なお、Tunnel group search using certificate maps failed for peer certificate は、その証明書を利用するよう定義されたTunnel-groupが見つからない時に発生するエラーかな、と思います。

不具合の影響で適切なTunnnel-groupが見つからないのかどうかが解らないのでその切り分けと、複数脆弱性を持つソフトウェアでインターネットVPNサーバとしての利用されるのは危険なのでその対処、の２点で、まずはアップグレード頂くといかがでしょうか。アップグレード後も問題が継続する場合は、再度設定やログを見直して頂くと良いのかなと思います。バージョンが変わると出るログが変わることも少なくありません。

新規機能を検証・導入される場合は、問題発生時の原因が設定問題か不具合影響かの切り分け時間を減らすためにも、基本安定したソフトウェアバージョンにあげてからの新機能確認が強く推奨されます。

元の投稿で解決策を見る

Akira Muranaka · ‎2017-07-28

fxlateengineerさん、こんにちわ。

まず、ご利用のASAソフトウェアバージョンが、かなり古いため、8.4トレインの最新バージョン 8.4(7)31などに更新されては如何でしょうか。 8.4(2)は 8.4系の初期リリースで 8.4系はけっこうAnyConnect仕様変更もあるので、初期リリースは少なくないAnyConnect関連の不具合や複数の脆弱性を持ってます。 8.4(2)→8.4(7)31で数百個以上の不具合修正や脆弱性対応ができます。アップグレード方法は以下URLなどが参考になるかと思います。

https://supportforums.cisco.com/ja/document/12327751

脆弱性情報は以下URL等で確認できます。

http://www.cisco.com/c/en/us/support/security/asa-5500-series-next-generation-firewalls/products-security-advisories-list.html

なお、Tunnel group search using certificate maps failed for peer certificate は、その証明書を利用するよう定義されたTunnel-groupが見つからない時に発生するエラーかな、と思います。

不具合の影響で適切なTunnnel-groupが見つからないのかどうかが解らないのでその切り分けと、複数脆弱性を持つソフトウェアでインターネットVPNサーバとしての利用されるのは危険なのでその対処、の２点で、まずはアップグレード頂くといかがでしょうか。アップグレード後も問題が継続する場合は、再度設定やログを見直して頂くと良いのかなと思います。バージョンが変わると出るログが変わることも少なくありません。

新規機能を検証・導入される場合は、問題発生時の原因が設定問題か不具合影響かの切り分け時間を減らすためにも、基本安定したソフトウェアバージョンにあげてからの新機能確認が強く推奨されます。

fxlateengineer · ‎2017-07-31

Akira Muranaka様

大変参考になるご回答を下さり誠にありがとうございます。ASAのOSバージョンについては、アップグレードを検討したいと思います。

なお、ASAにおいてCSRを発行する際に署名アルゴリズムをSHA2に指定する方法はございますでしょうか。

証明書認証の実用性を鑑みて、OSバージョンアップもSHA2対応後のものにしてみることも検討しておりますので、合わせて考慮しておきたいと考えております。

恐れ入りますがご確認のほどよろしくお願い申し上げます。

aktosa · ‎2017-08-01

fxlateengineer様

CSRの署名アルゴリズムですが、現在SHA1のみが利用可能です。

この署名はCAがCSRの正当性（改竄の有無等）を検証するために利用されますが、CAが返送する証明書に署名する際のアルゴリズムとは別のものです。
CAがSHA2で署名するのであれば、発行される証明書の署名はSHA2になります。

ASAは、8.4(2)からSHA-2の証明書をサポートしていますので、8.4(7)31など、8.4(2)より新しいバージョンでは問題なく利用可能です。

fxlateengineer · ‎2017-08-03

aktosa 様

お世話になっております。

ご回答下さりありがとうございました。発行したサーバ証明書を確認したところSHA2での署名になっており、トラストポイントにバインドして問題なく接続できることを確認しました。

また、公的な証明書機関にも問い合わせしたところ同様の回答をもらいました。

今後とも何卒よろしくお願い申し上げます。