|
|
 |
MCSEboard.de – IT Pro Forum zu Windows Server 2008 R2 / 2008 / 2003 & Windows 7 / Vista / XP |
 |
Cisco Forum — Allgemein
Cisco Forum: Alles zum Thema CISCO Zertifizierungen CCNA, CCNP, CCSP, CCIE etc. — Q & A zum Thema CISCO Router, Switches und Firewalls |
 |
|
06.06.2007, 10:09
|
#1
|
|
Member
Offline
Registriert seit: 09-2003
Ort: Koblenz
Beiträge: 180
|
CIsco VPN CLient - Probleme mit Zertifikaten
Hallo zusammen,
wir bei uns das Phänomen, das ausgestellte Zertifikate plötzlich nicht mehr funktionieren.
Folge Meldung erscheint dann im LOG-File des VPN-Clients:
Cisco Systems VPN Client Version 4.8.00.0440
Copyright (C) 1998-2005 Cisco Systems, Inc. All Rights Reserved.
Client Type(s): Windows, WinNT
Running on: 5.1.2600 Service Pack 2
Config file directory: C:\Programme\Cisco Systems\VPN Client
Cisco Systems VPN Client Version 4.8.00.0440
Copyright (C) 1998-2005 Cisco Systems, Inc. All Rights Reserved.
Client Type(s): Windows, WinNT
Running on: 5.1.2600 Service Pack 2
Config file directory: C:\Programme\Cisco Systems\VPN Client
1 08:43:52.671 06/06/07 Sev=Info/6 CERT/0x63600025
Attempting to find a Certificate using Serial Hash.
2 08:43:52.671 06/06/07 Sev=Info/6 CERT/0x63600026
Found a Certificate using Serial Hash.
3 08:43:52.671 06/06/07 Sev=Info/6 CERT/0x63600025
Attempting to find a Certificate using Serial Hash.
4 08:43:52.671 06/06/07 Sev=Info/6 CERT/0x63600026
Found a Certificate using Serial Hash.
5 08:43:52.687 06/06/07 Sev=Info/6 CERT/0x63600025
Attempting to find a Certificate using Serial Hash.
6 08:43:52.687 06/06/07 Sev=Info/6 CERT/0x63600026
Found a Certificate using Serial Hash.
7 08:43:52.765 06/06/07 Sev=Info/4 CERT/0x63600015
Cert (e=name.nachname@firma.de,cn=name nachname,ou=firma,o=ORGA) verification succeeded.
8 08:43:52.765 06/06/07 Sev=Info/4 CM/0x63100002
Begin connection process
9 08:43:52.781 06/06/07 Sev=Info/4 CVPND/0xE3400001
Microsoft IPSec Policy Agent service stopped successfully
10 08:43:52.781 06/06/07 Sev=Info/4 CM/0x63100004
Establish secure connection using Ethernet
11 08:43:52.781 06/06/07 Sev=Info/4 CM/0x63100024
Attempt connection with server "vpn.firma.de"
12 08:43:53.781 06/06/07 Sev=Info/6 IKE/0x6300003B
Attempting to establish a connection with 111.222.333.444.
13 08:43:53.781 06/06/07 Sev=Info/6 CERT/0x63600025
Attempting to find a Certificate using Serial Hash.
14 08:43:53.781 06/06/07 Sev=Info/6 CERT/0x63600026
Found a Certificate using Serial Hash.
15 08:43:53.828 06/06/07 Sev=Info/4 CERT/0x6360001E
Function C_SelectPrivateKeyBySPKI failed with an error code -
0x000007A3(C:\temp\build\rel_4.80.572427760761-Fri-04-Nov-2005-17-15-30\rel_4.8\UnityCertAPI\CCertStoreBCERT.cpp:676).
16 08:43:53.828 06/06/07 Sev=Info/4 CERT/0x63600016
Could not load private key for certificate e=name.nachname@firma.de,cn=name nachname,ou=firma,o=ORGA from store Microsoft User Certificate.
17 08:43:53.828 06/06/07 Sev=Warning/2 IKE/0xE3000007
Unable to open certificate (e=name.nachname@firma.de,cn=name nachname,ou=firma,o=ORGA).
If you are using a smartcard or token containing a certificate, verify the correct one is plugged in and try again.
18 08:43:53.828 06/06/07 Sev=Warning/2 IKE/0xE3000099
Failed to open my certificate (Connection:240)
19 08:43:53.828 06/06/07 Sev=Warning/2 IKE/0xE3000098
Failed to set up connection data
20 08:43:53.828 06/06/07 Sev=Info/4 CM/0x6310001C
Unable to contact server "vpn.firma.de"
21 08:43:53.828 06/06/07 Sev=Info/5 CM/0x63100025
Initializing CVPNDrv
22 08:43:53.828 06/06/07 Sev=Info/4 IKE/0x63000001
IKE received signal to terminate VPN connection
23 08:43:53.828 06/06/07 Sev=Info/4 IKE/0x63000086
Microsoft IPSec Policy Agent service started successfully
|
|
|
|
|
|
06.06.2007, 10:09
|
#2
|
|
Member
Offline
Registriert seit: 09-2003
Ort: Koblenz
Beiträge: 180
|
24 08:43:53.828 06/06/07 Sev=Info/4 IPSEC/0x63700008
IPSec driver successfully started
25 08:43:53.843 06/06/07 Sev=Info/4 IPSEC/0x63700014
Deleted all keys
26 08:43:53.843 06/06/07 Sev=Info/4 IPSEC/0x63700014
Deleted all keys
27 08:43:53.843 06/06/07 Sev=Info/4 IPSEC/0x63700014
Deleted all keys
28 08:43:53.843 06/06/07 Sev=Info/4 IPSEC/0x63700014
Deleted all keys
29 08:43:53.843 06/06/07 Sev=Info/4 IPSEC/0x6370000A
IPSec driver successfully stopped
Das Problem tritt ganz sporadisch auf und lässt sich durch Austellen eines neuen Zertifikates wieder beheben.
Als CA-Server setzen wir Windows 2003-Server R2 SP1 ein.
Clients sind Unterschiedlich. Bei dem jetzigen ist Windows XP SP2 mit IE7 Build 7.0.5730.11
Leider konnte ich im Internet nichts zu der Fehlermeldung finden.
Hat hier jemand ähnliche Erfahrungen?
Danke + Gruß
Osirus
|
|
|
|
|
06.06.2007, 11:28
|
#3
|
|
Board Veteran
Offline
Registriert seit: 10-2005
Ort: Muenchen
Beiträge: 3.161
|
Wie werden die Zertifikate denn installiert? Weiter, weiter, fertigstellen?
|
|
|
|
|
06.06.2007, 13:03
|
#4
|
|
Member
Offline
Registriert seit: 09-2003
Ort: Koblenz
Beiträge: 180
|
Hi Wordo,
Sind eigentlich keine besonderen EInstellungen.
Zertifikat anfordern -> erweiterte Zertifikatanforderung -> Anforderung an Zertifizierungsstelle erstellen und einreichen -> und dann alles Standardwerte
Name, Vorname, Firma, Abteilung, E-Mail
Kryptografiedienstanbieter: Gemplus GemSafe Card CSP 1.0
Schlüsselgröße: 1024
Automatischer Schlüsselcontainername
Anforderungsformat: CMC
Hashalgorythmus : SHA1
Gruß
Osirus
|
|
|
|
|
06.06.2007, 13:16
|
#5
|
|
Board Veteran
Offline
Registriert seit: 10-2005
Ort: Muenchen
Beiträge: 3.161
|
Besteht die Moeglichkeit den Installationsprozess aus dem VPN Client auszugliedern und selbst vorzunehmen?
|
|
|
|
|
06.06.2007, 14:44
|
#6
|
|
Member
Offline
Registriert seit: 09-2003
Ort: Koblenz
Beiträge: 180
|
Hi,
weiss jetzt nicht so genau was Du meinst. Aber die Zertifikate werden über den IIS auf dem Cert-Server beantragt.
Gruß
Michael
|
|
|
|
|
06.06.2007, 14:50
|
#7
|
|
Board Veteran
Offline
Registriert seit: 10-2005
Ort: Muenchen
Beiträge: 3.161
|
Genau, dann lad sie einfach runter (ueber Browser) und installier sie per Hand. Also Start - Ausfuehren - mmc, dann Snapin hinzufuegen, Zertifikate, und dann fuer Computer und nicht lokalen User installieren. Dann kannste es ueber den VPN Client aus der Liste auswaehlen.
|
|
|
|
|
06.06.2007, 15:02
|
#8
|
|
Member
Offline
Registriert seit: 09-2003
Ort: Koblenz
Beiträge: 180
|
Hehe, genau so mache ich es ja  Das lustige ist halt, das es bei manchen Anwendern vorkommt und bei manchen ist das Cert noch nie kaputt gegangen. Dachte anfangs, es könnte evt. mit der Kennwortänderung an der lokalen Workstation (Benutzeraccount) zusammenhängen. ISt aber leider auch nicht so.
Bei der Einrichtung der VPNM-Verbindung wähle ich halt Cert.Authentication aus und dann das entsprechende Cert. aus dem Cert.Speicher (Was ein Satz  ). Die Zertifikate werden auch immer unter dem Benutzer-Account installiert, der später via VPN aufs Netz zugreifen soll.
Gruß
Osirus |
|
|
|
|
06.06.2007, 15:24
|
#9
|
|
Board Veteran
Offline
Registriert seit: 10-2005
Ort: Muenchen
Beiträge: 3.161
|
Aber die Zertifikate werden dir in der Liste noch angezeigt?
|
|
|
|
|
06.06.2007, 15:43
|
#10
|
|
Member
Offline
Registriert seit: 09-2003
Ort: Koblenz
Beiträge: 180
|
Jup, die werden mir noch angezeigt. Kannst Du auch im Logfile sehen. Er sagt mir halt nur, das er auf den Privatekey nicht zugreifen kann. Und jetzt suche ich halt nach der Ursache. Wie gesagt, dacht anfangs es könnte mit der Passwortänderung des Account zusammenhängen - tut es aber nicht.
Das lustige ist halt, sobald ich das alte Cert lösche, ein neues Zertifikat beantrage und austelle (mit den gleichen Daten) gehts sofort wieder.
Gruß
Osirus
|
|
|
|
|
|
|
|
