Erro de verificação de assinatura do AnyConnect Hostscan no Linux

Opções de download

  • PDF     (293.4 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (124.9 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (115.2 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:1 de outubro de 2013
ID do documento:116040

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento descreve como resolver um erro de conexão do Cisco AnyConnect Secure Mobility Client se você implantar o Hostscan no Linux.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Cisco AnyConnect
  • Cisco Secure Desktop (CSD)
  • Linux

Componentes Utilizados

As informações neste documento afetam os usuários do Linux que executam o CSD Hostscan.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Problema

Quando um usuário do Linux executa o Cisco Anyconnect em conjunto com o CSD Hostscan, uma mensagem de erro aparece indicando a Falha na Avaliação de Postura com um erro de Inicialização de Hostscan:

116040-problemsolution-product-01.png

No arquivo libcsd.log, uma mensagem de erro indica que o certificado usado para assinar o binário do Hostscan CSD expirou: 

[Thu Feb 07 18:52:15.774 2013][libcsd][all][csd_init]
  hello
[Thu Feb 07 18:52:15.774 2013][libcsd][all][csd_init]
  libcsd.so version 3.1.02040
[Thu Feb 07 18:52:15.774 2013][libcsd][debug]
  [hs_transport_init] initialization
[Thu Feb 07 18:52:15.774 2013][libcsd][debug]
  [hs_file_verify_with_killdate] verifying file
  signature: file = [/opt/cisco/anyconnect/lib/libaccurl.so.4.2.0],
  signer = [Cisco Systems, Inc.], type = [2]
[Thu Feb 07 18:52:15.963 2013][libcsd][error][verify_cb]
  Error 10, certificate has expired
[Thu Feb 07 18:52:15.963 2013][libcsd][error][verify_cert]
  Certificate is not trusted
[Thu Feb 07 18:52:15.964 2013][libcsd][error]
  [hs_file_verify_with_killdate] unable to verify
  the certificate trust.
[Thu Feb 07 18:52:15.964 2013][libcsd][error][hs_dl_load_global]
  file signature invalid, not
  loading library (/opt/cisco/anyconnect/lib/libaccurl.so.4.2.0).

Observação: usuários de Mac e Windows não são afetados por esse problema. Isso ocorre porque o código do cliente Mac e Windows verifica se o certificado usado para assinatura é válido no momento da assinatura do código, enquanto o código do cliente Linux verifica se o certificado usado para assinatura é válido no momento.

Solução

Como o problema é causado pela data em que o certificado foi assinado, você pode alterar o relógio do sistema para permitir que o usuário se conecte; no entanto, isso não é uma correção.

O bug da Cisco ID CSCue49663 (somente clientes registrados) foi preenchido para resolver esse problema. Para obter a correção, atualize para o AnyConnect Versão 3.1.02043 ou atualize somente o pacote do Hostscan Engine para a Versão 3.0.11046, como mostrado aqui:

webvpn 
enable outside 
csd hostscan image disk0:/hostscan_3.1.02043-k9.pkg
csd enable 
anyconnect image disk0:/anyconnect-win-3.1.02040-k9.pkg 1 regex "Windows NT" 
anyconnect image disk0:/anyconnect-macosx-i386-3.1.02040-k9.pkg 2 regex "Mac OS" 
anyconnect image disk0:/anyconnect-linux-3.1.02043-k9.pkg* 3 regex "Linux"

Observação: esses links se conectam às versões corretas dos downloads de software (somente clientes registrados).

Histórico de revisões

Revisão Data de publicação Comentários
1.0
17-Mar-2013
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Atri Basu and Jay Young
    Cisco TAC Engineers.

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos