我在使用 Juniper ncsvc CLI VPN 用戶端時遇到了困難,該客戶端曾經對我有用,但最近壞了,我懷疑這是因為 HTTPS SSL 憑證問題:
cat ~/.juniper_networks/network_connect/ncsvc.log
20150930152023.821647 ncsvc[p32325.t32325] ncsvc.info New ncsvc log level set to 5 (nccommon.cpp:75)
20150930152023.821693 ncsvc[p32325.t32325] sysdeps.info restoring DNS settings... (sysdeps.cpp:975)
20150930152023.821703 ncsvc[p32325.t32325] sysdeps.error rename /etc/jnpr-nc-resolv.conf => /etc/resolv.conf failed wirh error 2 (sysdeps.cpp:978)
20150930152023.821710 ncsvc[p32325.t32325] sysdeps.error rename /etc/jnpr-nc-hosts.bak => /etc/hosts failed wirh error 2 (sysdeps.cpp:982)
20150930152023.824362 ncsvc[p32325.t32325] ncsvc.info Connecting to vpn.company.com:443 (ncsvc.cpp:500)
20150930152023.844579 ncsvc[p32325.t32325] dsclient.para DSClient::authenticate(): user:..., password:..., cert:0, realm:... (dsclient.cpp:284)
20150930152023.848116 ncsvc[p32325.t32325] DSInet.info IVE host vpn.company.com resolved to 212.203.116.107, port 443 (dsinet.cpp:311)
20150930152023.848241 ncsvc[p32325.t32325] http_connection.para Starting a timed connect with SSL session 0x933cc90, proxy (null):0, and timeout 30 (http_connection.cpp:236)
20150930152023.848251 ncsvc[p32325.t32325] http_connection.para Entering state_start_connection (http_connection.cpp:351)
20150930152023.848258 ncsvc[p32325.t32325] http_connection.para Remote Address: ip=212.203.116.107, port=443, familiy=2 (http_connection.cpp:799)
20150930152023.848271 ncsvc[p32325.t32325] http_connection.para Remote Server=vpn.company.com (http_connection.cpp:801)
20150930152023.848277 ncsvc[p32325.t32325] http_connection.para Local Address: ip=0.0.0.0, port=0, familiy=2 (http_connection.cpp:806)
20150930152023.848282 ncsvc[p32325.t32325] http_connection.para Proxy Address: ip=(null), port=0, familiy=0 (http_connection.cpp:811)
20150930152023.864122 ncsvc[p32325.t32325] http_connection.para Entering state_continue_connection (http_connection.cpp:368)
20150930152023.864188 ncsvc[p32325.t32325] http_connection.para Entering state_ssl_connect (http_connection.cpp:538)
20150930152023.880107 ncsvc[p32325.t32325] dsssl.error SSL_connect failed. Error 5 (DSSSLSock.cpp:1619)
20150930152023.880153 ncsvc[p32325.t32325] http_connection.para Returning DSHTTP_ERROR from state_ssl_connect (http_connection.cpp:553)
20150930152023.880160 ncsvc[p32325.t32325] http_connection.para do_connect error: state 5, err 5 (http_connection.cpp:341)
20150930152023.880215 ncsvc[p32325.t32325] DSInet.error failed to connect to (vpn.company.com) error 5 (dsinet.cpp:383)
20150930152023.880229 ncsvc[p32325.t32325] dsclient.error unable to open URL: (https://vpn.company.com/launcher) with error -7 (dsclient.cpp:299)
20150930152023.880238 ncsvc[p32325.t32325] ncapp.error Failed to authenticate with IVE. Error 2 (ncsvc.cpp:231)
20150930152023.880261 ncsvc[p32325.t32325] dsncuiapi.para DsNcUiApi::~DsNcUiApi (dsncuiapi.cpp:83)
即將https://cryptoreport.thawte.com/checker/並輸入 vpn.company.com =>「憑證未正確安裝。您有 1 個錯誤,缺少中間憑證:Thawte SSL CA | 下載憑證」。 Firefox 41(但不是 Chromium 45)同樣抱怨https://vpn.company.com
所以我猜想應該能夠以某種方式在客戶端手動安裝這個缺少的中間證書(不是伺服器,我不控制它;等待內部 IT 的回應...)。 cryptoreport.thawte.com 方便地提供了它的下載,所以我了解到:
cd Downloads
mv Thawte\ SSL\ CA.txt Thawte_SSL_CA.crt
file Thawte_SSL_CA.crt
openssl x509 -in Thawte_SSL_CA.crt -text
sudo cp Thawte_SSL_CA.crt /usr/share/ca-certificates/
sudo chmod w+r /usr/share/ca-certificates/Thawte_SSL_CA.crt
sudo dpkg-reconfigure ca-certificates
sudo update-ca-certificates
然而,Firefox仍然不高興,但我吸取了教訓https://askubuntu.com/questions/244582/add-certificate-authorities-system-wide-on-firefox這是正常的,因為“Firefox 沒有查找證書的‘中心’位置。它只是查看當前配置文件。這就是為什麼修改 /usr/share/ca-certificates 或其他類似目錄不起作用火狐。” - 美好的。所以我手動將 Thawte_SSL_CA.crt 加入到 Firefox 中。還是不高興,說:安全連線失敗。連接到 vpn.company.com 期間發生錯誤。對等方的憑證授權者已被標記為不受使用者信任。 (錯誤代碼:sec_error_untrusted_issuer)。由於無法驗證接收到的資料的真實性,因此無法顯示您嘗試查看的頁面。請聯絡網站所有者以告知他們此問題。
甚至 Juniper ncsvc CLI VPN 用戶端仍然存在同樣的問題。我在該特定工具中沒有看到忽略 SSL 驗證的選項。
客戶端沒有辦法解決缺少中間 SSL 憑證的問題嗎?我只是想(在這裡學到一些東西,並且)該死的 VPN 可以工作! ;-) 是 Web 伺服器操作員正確配置該伺服器端的唯一解決方案嗎?
答案1
使用以下說明:
按一下“開始”,然後選擇“運行”並輸入 mmc。
點擊“檔案”並選擇“新增/刪除管理單元”。
選擇“新增”,在“獨立管理單元”清單中選擇“憑證”,然後按一下“新增”。
選擇電腦帳戶並按一下下一步。
選擇本機電腦並按完成。
您最好查看以下連結來安裝缺少的中間 SSL 憑證: