저는 Juniper ncsvc CLI VPN 클라이언트로 어려움을 겪고 있습니다. 이 클라이언트는 저에게 효과적이었지만 최근에 중단되었습니다. HTTPS SSL 인증서 문제 때문인 것으로 의심됩니다.
cat ~/.juniper_networks/network_connect/ncsvc.log
20150930152023.821647 ncsvc[p32325.t32325] ncsvc.info New ncsvc log level set to 5 (nccommon.cpp:75)
20150930152023.821693 ncsvc[p32325.t32325] sysdeps.info restoring DNS settings... (sysdeps.cpp:975)
20150930152023.821703 ncsvc[p32325.t32325] sysdeps.error rename /etc/jnpr-nc-resolv.conf => /etc/resolv.conf failed wirh error 2 (sysdeps.cpp:978)
20150930152023.821710 ncsvc[p32325.t32325] sysdeps.error rename /etc/jnpr-nc-hosts.bak => /etc/hosts failed wirh error 2 (sysdeps.cpp:982)
20150930152023.824362 ncsvc[p32325.t32325] ncsvc.info Connecting to vpn.company.com:443 (ncsvc.cpp:500)
20150930152023.844579 ncsvc[p32325.t32325] dsclient.para DSClient::authenticate(): user:..., password:..., cert:0, realm:... (dsclient.cpp:284)
20150930152023.848116 ncsvc[p32325.t32325] DSInet.info IVE host vpn.company.com resolved to 212.203.116.107, port 443 (dsinet.cpp:311)
20150930152023.848241 ncsvc[p32325.t32325] http_connection.para Starting a timed connect with SSL session 0x933cc90, proxy (null):0, and timeout 30 (http_connection.cpp:236)
20150930152023.848251 ncsvc[p32325.t32325] http_connection.para Entering state_start_connection (http_connection.cpp:351)
20150930152023.848258 ncsvc[p32325.t32325] http_connection.para Remote Address: ip=212.203.116.107, port=443, familiy=2 (http_connection.cpp:799)
20150930152023.848271 ncsvc[p32325.t32325] http_connection.para Remote Server=vpn.company.com (http_connection.cpp:801)
20150930152023.848277 ncsvc[p32325.t32325] http_connection.para Local Address: ip=0.0.0.0, port=0, familiy=2 (http_connection.cpp:806)
20150930152023.848282 ncsvc[p32325.t32325] http_connection.para Proxy Address: ip=(null), port=0, familiy=0 (http_connection.cpp:811)
20150930152023.864122 ncsvc[p32325.t32325] http_connection.para Entering state_continue_connection (http_connection.cpp:368)
20150930152023.864188 ncsvc[p32325.t32325] http_connection.para Entering state_ssl_connect (http_connection.cpp:538)
20150930152023.880107 ncsvc[p32325.t32325] dsssl.error SSL_connect failed. Error 5 (DSSSLSock.cpp:1619)
20150930152023.880153 ncsvc[p32325.t32325] http_connection.para Returning DSHTTP_ERROR from state_ssl_connect (http_connection.cpp:553)
20150930152023.880160 ncsvc[p32325.t32325] http_connection.para do_connect error: state 5, err 5 (http_connection.cpp:341)
20150930152023.880215 ncsvc[p32325.t32325] DSInet.error failed to connect to (vpn.company.com) error 5 (dsinet.cpp:383)
20150930152023.880229 ncsvc[p32325.t32325] dsclient.error unable to open URL: (https://vpn.company.com/launcher) with error -7 (dsclient.cpp:299)
20150930152023.880238 ncsvc[p32325.t32325] ncapp.error Failed to authenticate with IVE. Error 2 (ncsvc.cpp:231)
20150930152023.880261 ncsvc[p32325.t32325] dsncuiapi.para DsNcUiApi::~DsNcUiApi (dsncuiapi.cpp:83)
가다https://cryptoreport.thawte.com/checker/vpn.company.com => "인증서가 올바르게 설치되지 않았습니다. 1개의 오류가 있습니다. 중간 인증서 누락: Thawte SSL CA | 인증서 다운로드"입니다. Firefox 41(Chromium 45는 아님)도 비슷하게 불평합니다.https://vpn.company.com
그래서 나는 어떻게든 이 누락된 중간 인증서를 클라이언트 측에 수동으로 설치할 수 있어야 한다고 생각했습니다(서버가 아니라 제가 제어할 수 없습니다. 내부 IT의 응답을 기다리는 중...). cryptoreport.thawte.com에서는 편리하게 다운로드할 수 있도록 제공하여 다음과 같은 사실을 배웠습니다.
cd Downloads
mv Thawte\ SSL\ CA.txt Thawte_SSL_CA.crt
file Thawte_SSL_CA.crt
openssl x509 -in Thawte_SSL_CA.crt -text
sudo cp Thawte_SSL_CA.crt /usr/share/ca-certificates/
sudo chmod w+r /usr/share/ca-certificates/Thawte_SSL_CA.crt
sudo dpkg-reconfigure ca-certificates
sudo update-ca-certificates
하지만 Firefox는 여전히 만족스럽지 않습니다.https://askubuntu.com/questions/244582/add-certificate-authorities-system-wide-on-firefox"Firefox에는 인증서를 찾는 '중앙' 위치가 없기 때문에 이것이 정상입니다. 현재 프로필만 살펴봅니다. 그렇기 때문에 /usr/share/ca-certificates 또는 기타 유사한 디렉터리를 수정해도 작동하지 않습니다. 파이어폭스." - 괜찮은. 그래서 Thawte_SSL_CA.crt를 Firefox에 수동으로 추가했습니다. 여전히 만족스럽지 않습니다. 보안 연결에 실패했습니다. vpn.company.com에 연결하는 동안 오류가 발생했습니다. 피어의 인증서 발급자가 사용자에 의해 신뢰되지 않는 것으로 표시되었습니다. (오류 코드: sec_error_untrusted_issuer). 수신된 데이터의 신뢰성을 확인할 수 없기 때문에 보려는 페이지를 표시할 수 없습니다. 이 문제를 알리려면 웹사이트 소유자에게 문의하세요.
그리고 Juniper ncsvc CLI VPN 클라이언트에도 여전히 동일한 문제가 있습니다. 특정 도구에서 SSL 유효성 검사를 무시하는 옵션을 볼 수 없습니다.
누락된 중간 SSL 인증서를 클라이언트 측에서 해결할 수 있는 방법이 없나요? 나는 단지 (여기서 뭔가를 배우고) 빌어먹을 VPN이 작동하길 원합니다! ;-) 웹 서버 운영자가 이 서버 측을 올바르게 구성할 수 있는 유일한 솔루션입니까?
답변1
다음 지침을 따르십시오.
시작을 클릭한 다음 실행을 선택하고 mmc를 입력합니다.
파일을 클릭하고 스냅인 추가/제거를 선택합니다.
추가를 선택하고 독립 실행형 스냅인 목록에서 인증서를 선택한 다음 추가를 클릭합니다.
컴퓨터 계정을 선택하고 다음을 클릭합니다.
로컬 컴퓨터를 선택하고 마침을 클릭합니다.
누락된 중간 SSL 인증서를 설치하려면 아래 링크를 확인하는 것이 좋습니다.