Estoy teniendo problemas con el cliente VPN Juniper ncsvc CLI, que solía funcionar para mí pero recientemente se rompió, y sospecho que se debe a un problema con el certificado SSL HTTPS:
cat ~/.juniper_networks/network_connect/ncsvc.log
20150930152023.821647 ncsvc[p32325.t32325] ncsvc.info New ncsvc log level set to 5 (nccommon.cpp:75)
20150930152023.821693 ncsvc[p32325.t32325] sysdeps.info restoring DNS settings... (sysdeps.cpp:975)
20150930152023.821703 ncsvc[p32325.t32325] sysdeps.error rename /etc/jnpr-nc-resolv.conf => /etc/resolv.conf failed wirh error 2 (sysdeps.cpp:978)
20150930152023.821710 ncsvc[p32325.t32325] sysdeps.error rename /etc/jnpr-nc-hosts.bak => /etc/hosts failed wirh error 2 (sysdeps.cpp:982)
20150930152023.824362 ncsvc[p32325.t32325] ncsvc.info Connecting to vpn.company.com:443 (ncsvc.cpp:500)
20150930152023.844579 ncsvc[p32325.t32325] dsclient.para DSClient::authenticate(): user:..., password:..., cert:0, realm:... (dsclient.cpp:284)
20150930152023.848116 ncsvc[p32325.t32325] DSInet.info IVE host vpn.company.com resolved to 212.203.116.107, port 443 (dsinet.cpp:311)
20150930152023.848241 ncsvc[p32325.t32325] http_connection.para Starting a timed connect with SSL session 0x933cc90, proxy (null):0, and timeout 30 (http_connection.cpp:236)
20150930152023.848251 ncsvc[p32325.t32325] http_connection.para Entering state_start_connection (http_connection.cpp:351)
20150930152023.848258 ncsvc[p32325.t32325] http_connection.para Remote Address: ip=212.203.116.107, port=443, familiy=2 (http_connection.cpp:799)
20150930152023.848271 ncsvc[p32325.t32325] http_connection.para Remote Server=vpn.company.com (http_connection.cpp:801)
20150930152023.848277 ncsvc[p32325.t32325] http_connection.para Local Address: ip=0.0.0.0, port=0, familiy=2 (http_connection.cpp:806)
20150930152023.848282 ncsvc[p32325.t32325] http_connection.para Proxy Address: ip=(null), port=0, familiy=0 (http_connection.cpp:811)
20150930152023.864122 ncsvc[p32325.t32325] http_connection.para Entering state_continue_connection (http_connection.cpp:368)
20150930152023.864188 ncsvc[p32325.t32325] http_connection.para Entering state_ssl_connect (http_connection.cpp:538)
20150930152023.880107 ncsvc[p32325.t32325] dsssl.error SSL_connect failed. Error 5 (DSSSLSock.cpp:1619)
20150930152023.880153 ncsvc[p32325.t32325] http_connection.para Returning DSHTTP_ERROR from state_ssl_connect (http_connection.cpp:553)
20150930152023.880160 ncsvc[p32325.t32325] http_connection.para do_connect error: state 5, err 5 (http_connection.cpp:341)
20150930152023.880215 ncsvc[p32325.t32325] DSInet.error failed to connect to (vpn.company.com) error 5 (dsinet.cpp:383)
20150930152023.880229 ncsvc[p32325.t32325] dsclient.error unable to open URL: (https://vpn.company.com/launcher) with error -7 (dsclient.cpp:299)
20150930152023.880238 ncsvc[p32325.t32325] ncapp.error Failed to authenticate with IVE. Error 2 (ncsvc.cpp:231)
20150930152023.880261 ncsvc[p32325.t32325] dsncuiapi.para DsNcUiApi::~DsNcUiApi (dsncuiapi.cpp:83)
Ir ahttps://cryptoreport.thawte.com/checker/y escribiendo vpn.company.com => "El certificado no está instalado correctamente. Tiene 1 error, Falta el certificado intermedio: Thawte SSL CA | Descargar certificado". Firefox 41 (pero no Chromium 45) también se quejahttps://vpn.company.com
Así que supuse que probablemente uno debería poder instalar manualmente este certificado intermedio faltante en el lado del cliente de alguna manera (no en el servidor, eso no lo controlo; esperando respuesta del departamento de TI interno...). cryptoreport.thawte.com lo ofreció convenientemente para descargar, así que aprendí:
cd Downloads
mv Thawte\ SSL\ CA.txt Thawte_SSL_CA.crt
file Thawte_SSL_CA.crt
openssl x509 -in Thawte_SSL_CA.crt -text
sudo cp Thawte_SSL_CA.crt /usr/share/ca-certificates/
sudo chmod w+r /usr/share/ca-certificates/Thawte_SSL_CA.crt
sudo dpkg-reconfigure ca-certificates
sudo update-ca-certificates
Sin embargo, Firefox todavía no está contento, pero aprendí dehttps://askubuntu.com/questions/244582/add-certificate-authorities-system-wide-on-firefoxque esto es normal, porque "Firefox no tiene una ubicación 'central' donde busca certificados. Solo busca en el perfil actual. Es por eso que modificar /usr/share/ca-certificates u otros directorios similares no funcionará con Firefox." - bien. Entonces agregué manualmente ese Thawte_SSL_CA.crt a Firefox. Todavía no estoy contento y digo: Error en la conexión segura. Se produjo un error durante una conexión a vpn.company.com. El emisor del certificado del par ha sido marcado como no confiable para el usuario. (Código de error: sec_error_untrusted_issuer). La página que está intentando ver no se puede mostrar porque no se pudo verificar la autenticidad de los datos recibidos. Comuníquese con los propietarios del sitio web para informarles sobre este problema.
E incluso el cliente VPN Juniper ncsvc CLI sigue teniendo el mismo problema. No veo una opción en esa herramienta en particular para ignorar la validación SSL.
¿No hay forma del lado del cliente de solucionar un certificado SSL intermedio faltante? ¡Solo quiero (aprender algo aquí y) que la maldita VPN funcione! ;-) ¿La única solución para el operador del servidor web es configurar correctamente este lado del servidor?
Respuesta1
Utilice las siguientes instrucciones:
Haga clic en Inicio, luego seleccione Ejecutar e ingrese mmc.
Haga clic en Archivo y seleccione Agregar o quitar complemento.
Elija Agregar, seleccione Certificados en la lista de complementos independientes y luego haga clic en Agregar.
Seleccione Cuenta de computadora y haga clic en Siguiente.
Seleccione Computadora local y haga clic en Finalizar.
Será mejor que consulte el siguiente enlace para instalar el certificado SSL intermedio que falta: