はじめに

ASAのバージョンを9.16以後にアップグレードすると、Anyconnectの証明書認証に失敗し、接続ができなくなる場合があります。
その原因はASAのバージョン9.16以後からセキュリティが強化されたため、SHA-1アルゴリズムで署名された証明書や、証明書のRSA keyのサイズが2048よりも小さい場合、ASA が対応しなくなったためです。詳細については、ASA 9.16 のリリースノートから参照できます。

https://www.cisco.com/c/en/us/td/docs/security/asa/asa916/release/notes/asarn916.html
------------------------
Support to use SHA1with RSA Encryption algorithm for certification and support for certificates with RSA key sizes smaller than 2048 were removed.
You can use crypto ca permit-weak-crypto command to override these restrictions.
New/Modified commands: crypto ca permit-weak-crypto
------------------------   

事象の確認方法

当事象は、下記のようにトンネルグループで証明書認証を利用する場合に発生します。

tunnel-group AC-Group webvpn-attributes
 authentication certificate

尚、事象発生時のASAのSyslogから、下記のように「Hash algorithm is too weak」と出力されることが確認できます。

%ASA-6-302013: Built inbound TCP connection 22 for outisde:1.199.0.1/5560 (3.3.3.13/5560) to identity:1.199.0.254/443 (3.3.3.33/443)
%ASA-6-725001: Starting SSL handshake with client outisde:1.199.0.1/5560 to 1.199.0.254/443 for TLS session
%ASA-6-725016: Device selects trust-point ASDM_TrustPoint0 for client outisde:1.199.0.1/5560 to 1.199.0.254/443
%ASA-6-725004: Device requesting certificate from SSL client outisde:1.199.0.1/5560 to 1.199.0.254/443 for authentication
%ASA-6-725004: Device requesting certificate from SSL client outisde:1.199.0.1/5560 to 1.199.0.254/443 for authentication
%ASA-3-717009: Certificate validation failed. Hash algorithm is too weak, serial number: 03, subject name: CN=windowsclient.cisco.com.
%ASA-3-717027: Certificate chain failed validation. Generic validation failure occurred.

また、AnyconnectのUIから、以下のようなエラーメッセージが出力されることが確認できます。

対策

上述の9.16のリリースノートに記載されている通り、crypto ca permit-weak-crypto を設定することで、本事象が回避可能となります。但し、セキュリティレベルの低下につながりますので、署名のアルゴリズムや、RSA key サイズの強化を行っていただくことを推奨いたします。  

参考情報

Release Notes for the Cisco ASA Series, 9.16(x)
https://www.cisco.com/c/en/us/td/docs/security/asa/asa916/release/notes/asarn916.html