Cisco AnyConnect, MacOS Catalina, Cisco ISR G2, самоподписанный сертификат.
Не так давно вышло обновление Mac OS 10.15, которое не поддерживает Cisco Anyconnect x32, пользователи обновились до Cisco AnyConnect 4.8.
При подключении к шлюзу на Cisco ISR G2 эти пользователи стали получать сообщение
"AnyConnect cannot confirm it is connected to your secure gateway. The local network may not be trustworthy. Please try another network."
Мириться с этим было нельзя. Пришлось влезать в проблему.
Быстрый гугл на конкретно этот кейс ничего не дал. Но нашлось заявление от Apple https://support.apple.com/en-us/HT210176
Certificates using RSA key sizes smaller than 2048 bits are no longer trusted for TLS
SHA-1 signed certificates are no longer trusted for TLS
Будем переделывать текущую конфигурацию.
RO(config)#crypto key generate rsa label SSLKEY modulus 2048
% You already have RSA keys defined named SSLKEY.
% They will be replaced.
% The key modulus size is 2048 bits
% Generating 2048 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 4 seconds)
RO(config)#crypto pki trustpoint TRUSTPOINT
RO(ca-trustpoint)#hash sha512
RO(config)#crypto pki enroll TRUSTPOINT
% Include an IP address in the subject name? [yes]:
Enter Interface name or IP Address[xxx.xxx.xxx.xxx]:
Generate Self Signed Router Certificate? [yes/no]: yes
Router Self Signed Certificate successfully created
Смотрим сертификат
RO#show crypto pki certificates
Router Self-Signed Certificate
Status: Available
Certificate Serial Number (hex): 03
Certificate Usage: General Purpose
Issuer:
serialNumber=Xxxxxxxxxx
cn=firewallcx-certificate
Subject:
Name: xxxxxxxxxxx
IP Address: xxxxxxxxxxxxxx
Serial Number: xxxxxxxxxxx
serialNumber=Xxxxxxxxxx
cn=firewallcx-certificate
Validity Date:
start date: 00:00:00 UTC Dec 1 2019
end date: 00:00:00 UTC Jan 1 2030
Associated Trustpoints: TRUSTPOINT
Меняем настройки трастпоинта
RO(config)#webvpn gateway WEBVPN_GW
RO(config-webvpn-gateway)#ssl encryption aes256-sha1
RO(config-webvpn-gateway)#no inservice
RO(config-webvpn-gateway)#inservice
Сохраняем конфигурацию и пробуем подключиться.
При подключении к шлюзу на Cisco ISR G2 эти пользователи стали получать сообщение
"AnyConnect cannot confirm it is connected to your secure gateway. The local network may not be trustworthy. Please try another network."
Мириться с этим было нельзя. Пришлось влезать в проблему.
Быстрый гугл на конкретно этот кейс ничего не дал. Но нашлось заявление от Apple https://support.apple.com/en-us/HT210176
Certificates using RSA key sizes smaller than 2048 bits are no longer trusted for TLS
SHA-1 signed certificates are no longer trusted for TLS
Будем переделывать текущую конфигурацию.
RO(config)#crypto key generate rsa label SSLKEY modulus 2048
% You already have RSA keys defined named SSLKEY.
% They will be replaced.
% The key modulus size is 2048 bits
% Generating 2048 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 4 seconds)
RO(config)#crypto pki trustpoint TRUSTPOINT
RO(ca-trustpoint)#hash sha512
RO(config)#crypto pki enroll TRUSTPOINT
% Include an IP address in the subject name? [yes]:
Enter Interface name or IP Address[xxx.xxx.xxx.xxx]:
Generate Self Signed Router Certificate? [yes/no]: yes
Router Self Signed Certificate successfully created
Смотрим сертификат
RO#show crypto pki certificates
Router Self-Signed Certificate
Status: Available
Certificate Serial Number (hex): 03
Certificate Usage: General Purpose
Issuer:
serialNumber=Xxxxxxxxxx
cn=firewallcx-certificate
Subject:
Name: xxxxxxxxxxx
IP Address: xxxxxxxxxxxxxx
Serial Number: xxxxxxxxxxx
serialNumber=Xxxxxxxxxx
cn=firewallcx-certificate
Validity Date:
start date: 00:00:00 UTC Dec 1 2019
end date: 00:00:00 UTC Jan 1 2030
Associated Trustpoints: TRUSTPOINT
Меняем настройки трастпоинта
RO(config)#webvpn gateway WEBVPN_GW
RO(config-webvpn-gateway)#ssl encryption aes256-sha1
RO(config-webvpn-gateway)#no inservice
RO(config-webvpn-gateway)#inservice
Сохраняем конфигурацию и пробуем подключиться.