Ich habe Probleme mit dem Juniper ncsvc CLI-VPN-Client, der bei mir früher funktioniert hat, aber seit Kurzem nicht mehr funktioniert, und ich vermute, dass es an einem Problem mit dem HTTPS-SSL-Zertifikat liegt:
cat ~/.juniper_networks/network_connect/ncsvc.log
20150930152023.821647 ncsvc[p32325.t32325] ncsvc.info New ncsvc log level set to 5 (nccommon.cpp:75)
20150930152023.821693 ncsvc[p32325.t32325] sysdeps.info restoring DNS settings... (sysdeps.cpp:975)
20150930152023.821703 ncsvc[p32325.t32325] sysdeps.error rename /etc/jnpr-nc-resolv.conf => /etc/resolv.conf failed wirh error 2 (sysdeps.cpp:978)
20150930152023.821710 ncsvc[p32325.t32325] sysdeps.error rename /etc/jnpr-nc-hosts.bak => /etc/hosts failed wirh error 2 (sysdeps.cpp:982)
20150930152023.824362 ncsvc[p32325.t32325] ncsvc.info Connecting to vpn.company.com:443 (ncsvc.cpp:500)
20150930152023.844579 ncsvc[p32325.t32325] dsclient.para DSClient::authenticate(): user:..., password:..., cert:0, realm:... (dsclient.cpp:284)
20150930152023.848116 ncsvc[p32325.t32325] DSInet.info IVE host vpn.company.com resolved to 212.203.116.107, port 443 (dsinet.cpp:311)
20150930152023.848241 ncsvc[p32325.t32325] http_connection.para Starting a timed connect with SSL session 0x933cc90, proxy (null):0, and timeout 30 (http_connection.cpp:236)
20150930152023.848251 ncsvc[p32325.t32325] http_connection.para Entering state_start_connection (http_connection.cpp:351)
20150930152023.848258 ncsvc[p32325.t32325] http_connection.para Remote Address: ip=212.203.116.107, port=443, familiy=2 (http_connection.cpp:799)
20150930152023.848271 ncsvc[p32325.t32325] http_connection.para Remote Server=vpn.company.com (http_connection.cpp:801)
20150930152023.848277 ncsvc[p32325.t32325] http_connection.para Local Address: ip=0.0.0.0, port=0, familiy=2 (http_connection.cpp:806)
20150930152023.848282 ncsvc[p32325.t32325] http_connection.para Proxy Address: ip=(null), port=0, familiy=0 (http_connection.cpp:811)
20150930152023.864122 ncsvc[p32325.t32325] http_connection.para Entering state_continue_connection (http_connection.cpp:368)
20150930152023.864188 ncsvc[p32325.t32325] http_connection.para Entering state_ssl_connect (http_connection.cpp:538)
20150930152023.880107 ncsvc[p32325.t32325] dsssl.error SSL_connect failed. Error 5 (DSSSLSock.cpp:1619)
20150930152023.880153 ncsvc[p32325.t32325] http_connection.para Returning DSHTTP_ERROR from state_ssl_connect (http_connection.cpp:553)
20150930152023.880160 ncsvc[p32325.t32325] http_connection.para do_connect error: state 5, err 5 (http_connection.cpp:341)
20150930152023.880215 ncsvc[p32325.t32325] DSInet.error failed to connect to (vpn.company.com) error 5 (dsinet.cpp:383)
20150930152023.880229 ncsvc[p32325.t32325] dsclient.error unable to open URL: (https://vpn.company.com/launcher) with error -7 (dsclient.cpp:299)
20150930152023.880238 ncsvc[p32325.t32325] ncapp.error Failed to authenticate with IVE. Error 2 (ncsvc.cpp:231)
20150930152023.880261 ncsvc[p32325.t32325] dsncuiapi.para DsNcUiApi::~DsNcUiApi (dsncuiapi.cpp:83)
Gehe zuhttps://cryptoreport.thawte.com/checker/und geben Sie vpn.company.com ein => "Zertifikat ist nicht richtig installiert. Sie haben 1 Fehler, Zwischenzertifikat fehlt: Thawte SSL CA | Zertifikat herunterladen". Firefox 41 (aber nicht Chromium 45) jammert ähnlich überhttps://vpn.company.com
Ich vermutete also, dass man dieses fehlende Zwischenzertifikat wahrscheinlich irgendwie manuell auf der Clientseite installieren können müsste (nicht auf dem Server, das habe ich nicht unter Kontrolle; warte auf eine Antwort von der internen IT ...). cryptoreport.thawte.com hat es praktischerweise zum Download angeboten, also habe ich Folgendes erfahren:
cd Downloads
mv Thawte\ SSL\ CA.txt Thawte_SSL_CA.crt
file Thawte_SSL_CA.crt
openssl x509 -in Thawte_SSL_CA.crt -text
sudo cp Thawte_SSL_CA.crt /usr/share/ca-certificates/
sudo chmod w+r /usr/share/ca-certificates/Thawte_SSL_CA.crt
sudo dpkg-reconfigure ca-certificates
sudo update-ca-certificates
Allerdings ist Firefox immer noch nicht glücklich, aber ich habe gelernt vonhttps://askubuntu.com/questions/244582/add-certificate-authorities-system-wide-on-firefoxdass das normal ist, weil „Firefox keinen ‚zentralen‘ Ort hat, an dem es nach Zertifikaten sucht. Es schaut nur im aktuellen Profil nach. Deshalb funktioniert das Ändern von /usr/share/ca-certificates oder anderen ähnlichen Verzeichnissen mit Firefox nicht.“ – ok. Also habe ich diese Thawte_SSL_CA.crt manuell zu Firefox hinzugefügt. Immer noch nicht zufrieden, sagt: Sichere Verbindung fehlgeschlagen. Bei einer Verbindung mit vpn.company.com ist ein Fehler aufgetreten. Der Zertifikataussteller des Peers wurde vom Benutzer als nicht vertrauenswürdig markiert. (Fehlercode: sec_error_untrusted_issuer). Die Seite, die Sie anzeigen möchten, kann nicht angezeigt werden, da die Echtheit der empfangenen Daten nicht überprüft werden konnte. Bitte wenden Sie sich an die Websitebesitzer, um sie über dieses Problem zu informieren.
Und selbst der Juniper ncsvc CLI VPN-Client hat immer noch das gleiche Problem. Ich habe in diesem speziellen Tool keine Option zum Ignorieren der SSL-Validierung gesehen.
Gibt es keine Möglichkeit, clientseitig ein solches fehlendes SSL-Zwischenzertifikat zu umgehen? Ich will einfach (hier etwas lernen, und) das verdammte VPN soll funktionieren! ;-) Ist die einzige Lösung für den Webserverbetreiber, diese Serverseite richtig zu konfigurieren?
Antwort1
Befolgen Sie die nachstehenden Anweisungen:
Klicken Sie auf „Start“, wählen Sie „Ausführen“ und geben Sie „mmc“ ein.
Klicken Sie auf Datei und wählen Sie Snap-In hinzufügen/entfernen.
Wählen Sie „Hinzufügen“, wählen Sie „Zertifikate“ in der Liste „Standalone-Snap-In“ und klicken Sie dann auf „Hinzufügen“.
Wählen Sie „Computerkonto“ und klicken Sie auf „Weiter“.
Wählen Sie „Lokaler Computer“ und klicken Sie auf „Fertig stellen“.
Besser ist, Sie schauen sich den folgenden Link an, um das fehlende Zwischen-SSL-Zertifikat zu installieren: