AnyConnect(Windows): No valid certificates available for authentication の接続時のエラー

haigujin · ‎2017-10-24

コンテンツの内容について
問題
診断
解決策
補足

コンテンツの内容について

本ドキュメントはAnyConnectバージョン 4.4、ASAバージョン9.6(2)、ASDMバージョン7.6(2)を元に確認、作成しておりす。

問題

クライアント側にはASAが検証可能な証明書がインストールされているにも関わらず、AnyConnect接続時、No valid certificates available for authentication エラーで、接続が出来ない。

診断

環境

Windowsの一般ユーザーを利用している。
クライアント認証として、証明書認証を利用している。
クライアント証明書はコンピューターストアのみにインストールしている。

この環境では、一般ユーザーはコンピューターストアー内の証明書が利用できないため、AnyConnect-[Message History]には No valid certificates available for authentication エラーで接続が出来ないです。

解決策

AnyConnect Client Profileを追加し、以下の2点を変更する事により、一般ユーザーでもコンピューターストアー内の証明証が利用できるようになります。

1：「Certificate Store Override」を有効にする。

一般ユーザーでもコンピューターストアー内の証明書を利用できるようにする設定です。

設定方法：

ASDM - [Configuration] - [Remote Access VPN] - [Network (Client) Access] - [AnyConnect Client Profile] - [Preferences (Part 1)] - [Certificate Store Override]項目にチェックを入れる。

2：Server-list を追加する。

追加する目的としては、AnyConnectを接続する際、上記のProfileを利用し、接続を行わせるためです。

設定方法：

ASDM - [Configuration] - [Remote Access VPN] - [Network (Client) Access] - [AnyConnect Client Profile] - [Server List] - [Add] をクリックする。

補足

AnyConnect Client Profileが存在しない環境では、まず、Profileを追加する必要があります。

設定方法：

ASDM - [Configuration] - [Remote Access VPN] - [Network (Client) Access] - [AnyConnect Client Profile] -[Add] にて追加できます。

注：Profileを作成時、画面キャプチャ内の[Group Policy]にて該当のGroup policyにアサインするか、作成後、[Change Group Policy]にて該当のGroup-policyにアサインしてください。

AnyConnect Profileについて下記のURLをご参照ください。

https://www.cisco.com/c/en/us/td/docs/security/vpn_client/anyconnect/anyconnect44/administration/guide/b_AnyConnect_Administrator_Guide_4-4/anyconnect-profile-editor.html