[heikis]

Väga detailidesse ei laskuks. Äkki on kellelgi kogemusi konkreetse lahendusega.

VPN kliente on vaja autentida ID-kaardiga. Kõik osapooled on LANis, välisühendus puudub.
VPN termineerub Cisco ASA-l. VPN kliendiks on Cisco Anyconnect Mobile.
ASA peale on installitud nii vaheCA kui ka juurCA serdid (ideepoolest peaks toimima ka ainult vaheCA serdiga?):
JUUR-SK.PEM ja ESTEID-SK 2007.PEM
Certif Revoc List pärimine on keelatud.

klient ühendab, küsitakse PIN1 ning saab lõpuks teate "Certificate validation failure".

ASDM logist saan kõigepealt vaste: "Certificate was successfully validated. Cert is resident and trusted... subject name: cn=ESTEID-SK 2007..."
ja siis error: "Certificate chain failed validation. Certificate chain is either invalid or not authorized".
ASDM debugi logi hetkel ei hakka siia tooma.

Kas konfis võib mingi põhimõtteline viga sees olla? Tahavad ID-kaardi serdid mingit erikohtlemist?
Kui antud lahendus mingit erikohtlemist ei taha, siis kolin oma küsimusega Cisco support foorumisse.

tänud ette.


-e-

lahendatud.

[warwas]

Äkki "sheerid kama"?
Võimalik, et varsti tuleb sarnase probleemiga silmitsi olla...

[heikis]

probleem oli asa softis.
asa901-k8 tundub, et on puudulik. asa845-k8 toimetab kenasti. nüüd on väljas ka asa911-k8, kuid sellega pole proovinud.

hetkel toimiv kombo on: asa845-k8.bin ning asdm-702.bin
kasutusel 3des/aes litsents. lihtsa baaslitsentsi des puhul pole kindel, kas toimib.