https://www.opennet.dev/openforum/vsluhforumID6/22901.html Коллеги, <br><br>после установки AnyConnect на Cisco 1841 перестал соединятся с SSL-VPN - на старом sslclient всё работало.<br><br>Пишет ошибку - The certificate on the secure gateway is invalid. A VPN connection will not be established.<br><br>Конфиг вот <br>crypto pki trustpoint local<br> enrollment selfsigned<br> serial-number<br> ip-address XXX.XXX.XXX.XXX<br> subject-name cn=rrr.rs<br> revocation-check crl<br> rsakeypair my_key 1024 1024<br>!<br>!<br>crypto pki certificate chain local<br> certificate self-signed 02<br> 308202AE 30820217 A0030201 02020102 300D0609 2A864886 F70D0101 04050030<br> 67311830 16060355 0403130F 636C6965 6E742E6F 696C7063 2E727531 4B301206<br> 03550405 130B4643 5A303933 3732334A 35301706 092A8648 86F70D01 0902160A<br> 74706B5F 73686162 3233301C 06092A86 4886F70D 01090813 0F323132 2E313030<br> 2E313531 2E313739 301E170D 31313037 31393233 30303237 5A170D32 30303130<br> 31303030 3030305A 30673118 30160603 55040313 0F636C69 656E742E 6F696C70<br> 632E7275 314B3012 06035504 05130B46 435A3039 33373233 4A353017 06092A86<br> 488 https://www.opennet.dev/openforum/vsluhforumID6/22901.html#4 Wed, 20 Jul 2011 15:42:33 GMT &gt;[оверквотинг удален]<br>&gt;&gt; Даю свой вариант, хотя не уверен в правильности. Убивай сертификат и trustpoint, <br>&gt;&gt; сохраняй конфиг и перезагружай циску. Генери новый сертификат, как по инструкции <br>&gt;&gt; (http://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/guide/gtpsscer.html), <br>&gt;&gt; не вводя всяких дополнительных значений (на использование серийного номера соглашайся), <br>&gt;&gt; жди пока он появиться, у тебя проблема с его окончательным проявлением <br>&gt;&gt; (как сказать это грамотно, я не знаю). Как тольковсе появиться прописывай <br>&gt;&gt; трастпоинт в конфигурации webvpn.<br>&gt; Такой вариант тоже пробовал. Не помогло!<br>&gt; Помогло следующее - я просто поставил AnyConnect 2.3. С версиями 2.4 и <br>&gt; 2.5 вообще самоподписанные сертификаты не ест. Спасибо еще раз.<br><br>Не за что. Чего-то я сегодня торможу :-) В FAQ по AnyConnect https://supportforums.cisco.com/docs/DOC-1361 указанно, что до определенной версии ИОС версия 2.4 не работает с самоподписанными сертификатами, так же не отрабатывает подключение клиента на прямую к устройст https://www.opennet.dev/openforum/vsluhforumID6/22901.html#3 Wed, 20 Jul 2011 12:55:15 GMT &gt;[оверквотинг удален]<br>&gt;&gt; end <br>&gt;&gt; Уже как только не пробовал генерить сертификат. Ничего не помогает. Прошу помочь.<br>&gt;&gt; Спасибо!<br>&gt; Даю свой вариант, хотя не уверен в правильности. Убивай сертификат и trustpoint, <br>&gt; сохраняй конфиг и перезагружай циску. Генери новый сертификат, как по инструкции <br>&gt; (http://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/guide/gtpsscer.html), <br>&gt; не вводя всяких дополнительных значений (на использование серийного номера соглашайся), <br>&gt; жди пока он появиться, у тебя проблема с его окончательным проявлением <br>&gt; (как сказать это грамотно, я не знаю). Как тольковсе появиться прописывай <br>&gt; трастпоинт в конфигурации webvpn.<br><br>Такой вариант тоже пробовал. Не помогло!<br>Помогло следующее - я просто поставил AnyConnect 2.3. С версиями 2.4 и 2.5 вообще самоподписанные сертификаты не ест. Спасибо еще раз.<br> https://www.opennet.dev/openforum/vsluhforumID6/22901.html#2 Wed, 20 Jul 2011 10:32:54 GMT &gt;[оверквотинг удален]<br>&gt; svc address-pool "new" <br>&gt; svc dns-server primary 8.8.8.8 <br>&gt; default-group-policy policy_1 <br>&gt; gateway gateway_1 <br>&gt; max-users 10 <br>&gt; inservice <br>&gt; !<br>&gt; end <br>&gt; Уже как только не пробовал генерить сертификат. Ничего не помогает. Прошу помочь. <br>&gt; Спасибо!<br><br>Даю свой вариант, хотя не уверен в правильности. Убивай сертификат и trustpoint, сохраняй конфиг и перезагружай циску. Генери новый сертификат, как по инструкции (http://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/guide/gtpsscer.html), не вводя всяких дополнительных значений (на использование серийного номера соглашайся), жди пока он появиться, у тебя проблема с его окончательным проявлением (как сказать это грамотно, я не знаю). Как тольковсе появиться прописывай трастпоинт в конфигурации webvpn.<br> https://www.opennet.dev/openforum/vsluhforumID6/22901.html#1 Wed, 20 Jul 2011 08:39:44 GMT &gt;[оверквотинг удален]<br>&gt; svc address-pool "new" <br>&gt; svc dns-server primary 8.8.8.8 <br>&gt; default-group-policy policy_1 <br>&gt; gateway gateway_1 <br>&gt; max-users 10 <br>&gt; inservice <br>&gt; !<br>&gt; end <br>&gt; Уже как только не пробовал генерить сертификат. Ничего не помогает. Прошу помочь. <br>&gt; Спасибо!<br><br>попробуйте от стороннего УЦ получить серт, время выставить правильно, добавить на клиенте серт роутера в список доверенных корневых УЦ<br>