Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 19 replies
  • Subscribers 1 subscriber
  • Views 28973 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

iPhone Astaro - Serverzertifikat konnte nicht überprüft werden

Krischeu
Hallo,
kann mir jemand helfen? Der Knowledgebase artikel über iphone hilft mir nicht weiter.

Ich möchte ein iPhone per VPN mit der Astaro verbinden.
Die Fehlermeldung am iPhone popt auf und es kommt:
"Serverzertifikat konnte nicht überprüft werden"

Ich hatte auch schon das iPhone zurückgesetzt und neu importier ...
Hat da mal jemand eine idee? Logfile ist angehängt ....
Domain ist eine dyndns-Adresse. OpenVPN am PC funktioniert einwandfrei.
hostname:"asdf.dyndns.org"
Also einen Fehler im LOG hab ich so erst mal nicht gesehen. Es geht über die Fritzbox(wlan) raus, Internet, dann auf die Astaro.

Über einen Tip freue ich mich.
Grüße
Heinz


This thread was automatically locked due to age.
  • 0 in reply to tomtomtom
    Hallo Leute,

    ich muss das Thema nochmal aufgreifen, denn ich bekomme leider auch die Meldung, dass das Serverzertifikat nicht überprüft werden konnte.

    Ich habe extra ein neues Serverzertifikat erstellt (2048 bit, SHA1) und einen neuen Benutzer angelegt (mit 2048 bit, SHA1 Zertifikat).

    Dann habe ich das Profil aus dem Userportal heruntergeladen, dabei hat es gleich die VPN-Verbindung angelegt. Leider bekomme ich aber auch die Fehlermeldung.

    Was kann ich dabei noch falsch machen?


    Stimmen der Name der Firewall, der Name in den Zertifikaten und der von aussen per DNS gemeldete Name überein?
    Wenn nein anpassen und die Zertifikate neu erzeugen. Das bei mir bsher immer die Ursache für solche Probleme.

    Gruss
  • 0 in reply to rprengel
    Stimmen der Name der Firewall, der Name in den Zertifikaten und der von aussen per DNS gemeldete Name überein?
    Wenn nein anpassen und die Zertifikate neu erzeugen. Das bei mir bsher immer die Ursache für solche Probleme.

    Gruss

    Ich habe in der Verbindung den Hostnamen überschrieben, im Zertifikat stimmt der Name mit dem Hostnamen überein. Darin sehe ich bisher nicht den Fehler.


    Edit: ich sehe gerade, dass ich schon ein Zertifikat für OWA habe, welches als VPN-ID den Hostnamen trägt. Könnte das problematisch sein?

    Ich frage, da ich im Moment das nicht testen kann.
  • 0
    Jetzt schon etwas länger her, aber wenn du den Hostnamen überschreibst, stimmt der doch nicht mehr mit dem Zertifikat überein...
  • 0 in reply to UrsWeiss
    Jetzt schon etwas länger her, aber wenn du den Hostnamen überschreibst, stimmt der doch nicht mehr mit dem Zertifikat überein...

    Deswegen nehme ich nicht das "Local X509 Cert ", sondern habe ein neues Serverzertifikat erstellt und nutze dies in den Cisco VPN Settings. Der Hostname im neuen Zertifikat der gleiche wie der in den iOS Devices angegebene. Das sollte doch gehen, oder?
  • 0
    Ich habe inzwischen sogar die Signing CA, also das Local X509 Cert neu erstellt, damit ist sichergestellt, dass alle Zertifikate mit SHA-1 rezertifiziert sind.

    Ich bekomme aber immernoch den gleichen Fehler!

    HILFE!
  • 0 in reply to tomtomtom
    Ich habe inzwischen sogar die Signing CA, also das Local X509 Cert neu erstellt, damit ist sichergestellt, dass alle Zertifikate mit SHA-1 rezertifiziert sind.

    Ich bekomme aber immernoch den gleichen Fehler!

    HILFE!



    DNS Auflösung auf genau den Namen klappt.
    Testest du von intern oder extern über z.B. umts?

    Gruss
  • 0 in reply to tomtomtom
    wenn du das local x509 neu erstellt hast, dann war das nicht die CA.

    Du musst den Button unter Certificate Management / Advanced drücken.

    Auf dem Iphone alle Verbindungen und Zertifikate löschen.

    Sven

    Astaro user since 2001 - Astaro/Sophos Partner since 2008

  • 0 in reply to maygyver
    DNS Auflösung auf genau den Namen klappt.
    Testest du von intern oder extern über z.B. umts?

    Gruss

    Test lief über UMTS. Die Sache ist ja, dass ich zur ASG/UTM komme, sonst würde ich nicht den Fehler erhalten.

    wenn du das local x509 neu erstellt hast, dann war das nicht die CA.

    Du musst den Button unter Certificate Management / Advanced drücken.

    Auf dem Iphone alle Verbindungen und Zertifikate löschen.

    Sven

    Genau das habe ich gemacht, dabei wird das Local X509 rezertifiziert und ist dann auch nach SHA-1 erstellt, siehe Anhang.

    Auf dem iPhone habe ich natürlich auch das Profil und damit die Verbindung und die Zertifikate gelöscht und alles neu aus dem User-Portal geladen.
  • 0
    Problem ist gelöst:

    Zu beachten ist, dass der Hostname auch über Reverse korrekt aufgelöst werden kann. Ist das nicht der Fall gibt es zwei Möglichkeiten:

    1. IP Adresse als "VPN ID Type: Hostname" in das Zertifikat eintragen und unter der "iOS Devices" --> "Override Hostname" auch IP-Adresse eintragen

    oder 

    2. Hostnamen unter "Management" --> "System Settings" gleich dem Hostnamen der "VPN ID Type: Hostname" im Zertifiakt und, dass kann jetzt optional sein, ich habe es nicht getestet, unter "iOS Devices" --> "Override Hostname" auch nochmal den Hostnamen eintragen.

    Bei mir war unter "Management" --> "System Settings" ein interner Hostname eingetragen (warum auch immer, SSO/Kerberos war jedenfalls nicht der Grund).