キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
1894
閲覧回数
4
いいね!
0
コメント
jianzh3
Cisco Employee
Cisco Employee

 

はじめに

本ドキュメントでは、Anyconnect接続時にCertificate is not identified for this purposeの警告メッセージが出力される事象の発生原因及び回避方法について紹介します。
本ドキュメントでは、ASAv バージョン 9.8(4) と Anyconnect 4.10.05111 を用いて確認、作成しております。

 

 

構成例

本ドキュメントは、以下の構成で、動作確認例を紹介します。

diagram.png

 

 

事象の発生原因

証明書認証に利用されるサーバー証明書に、KU(Key Usage)やEKU(Extended Key Usage)が存在している場合、以下の条件を満たす必要があります。

・KU(Key Usage)が含まれている場合:DigitalSignature と KeyAgreement(OR KeyEncipherment)の属性が必須
・EKU(Extended Key Usage)が含まれている場合:serverAuth もしくは ikeIntermediatenの属性が必須

以下、上記の条件を満たしていない場合の事象の例を紹介します。

1. サーバー証明書を作成します。
  ※本ドキュメントは、XCAを利用し、証明書を作成します。

  ・EKU(Extended Key Usage)の利用
  ・EKUにserverAuthやikeIntermediateの属性がない

  server_cert_NG.png

2. ASDM経由で、サーバー証明書をASAにインポートします。

asdm_ng.png

3. サーバー証明書をASAのInterfaceに適用します。

ssl trust-point server_cert_NG outside

4. Anyconnect接続を実施すると、警告メッセージが出力されることを確認できます。

anyconnect_ng.png

5. DARTファイルに以下のメッセージが出力されることを確認できます。

The certificate did not contain the required Extended Key Usages
Certificate is not identified for this purpose

EKU not found in certificate: 1.3.6.1.5.5.7.3.1
Description: CERTIFICATE_ERROR_VERIFY_ENHKEYUSAGE_FAILED:The certificate did not contain the required Extended Key Usages

 

 

事象の回避方法

事象を回避するためには、サーバー証明書にserverAuth もしくは ikeIntermediatenの属性を追加する必要があります。以下ではserverAuth属性を追加する例を紹介します。

1. 新しいサーバー証明書を作成します。

  ・EKU(Extended Key Usage)の利用
  ・EKUにserverAuthの属性の追加

  server_cert_OK.png

2. ASDM経由で、サーバー証明書をASAにインポートします。 asdm_ok.png

3. サーバー証明書をASAのInterfaceに適用します。

ssl trust-point server_cert_OK outside

4. Anyconnect接続を実施し、警告メッセージが出力されないことを確認できます。

 

 

参考情報

https://www.cisco.com/c/en/us/td/docs/security/vpn_client/anyconnect/anyconnect410/administration/guide/b-anyconnect-admin-guide-4-10/configure_vpn.html

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします