Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 25 replies
  • Subscribers 1 subscriber
  • Views 13955 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

iOS 5 and vpn

mdl1
Hello,
I upgraded an iphone to iOS 5 and since Then I cannot connect my vpn. The connection is refused saying it cannot validate the server certificate. I tried with another ipad ios4 and it works perfectly. 
Any feedback on this issue is much appreciated. 

Mourad Dahoumane


This thread was automatically locked due to age.
  • 0
    @Bob:  He ran through the process that was posted to the known issues list this morning.

    ID19305 8.202 Cisco VPN connection is no longer working with iPhone/iPad running iOS 5
    ------------------------------------------------------------------------
    Description:  In iOS 5 (both iPhone/iPad) Apple made some new changes
                  within the Cisco IPsec connection handling. Certificates
                  with 1024 bit are no longer supported.
                  
                  Because of this the Cisco IPSec connection is no longer
                  working.
    Workaround:   Create a new server-certificate at the Remote Access /
                  Certificate-Management:
                  
                  *Keysize: 2048 Bit
                  
                  *VPN ID Type/VPN ID: depends on the configuration,
                  hostname or ip-address.
                  
                  *Common Name: fill in the hostname or ip-address, depends
                  on the Override hostname setting (Remote Access / Cisco
                  VPN Client / iOS devices) or the hostname of the ASG.
                  
                  Finally choose this certificate in Remote Access / Cisco
                  VPN Client / Global.

    My phones an Android, so I'm unable to test.
  • 0
    Scott, I think that was changed after he posted and before you copied it.

    One of the tricks, for most uses, when creating certs, every field must have some content.

    Cheers - Bob
  • 0
    Hi together,

    tried again with a new Certificate 2048 bit length and ALL fields filled, but changes nothing. :/

    I would try to regenerate the signing CA Certificate at the menu "Remote Access"->"Certificate Management"->"Advanced", but i don't know whether i get a 2048 signing CA certificate afterwards. At the moment under "Certificate Authority" there is the certifcate of the signing CA with a 1024bit length.

    And i don't want to just try, because that would break Site-to-Site VPN and SSL VPN and IPhone VPN Clients, which we have some good bunch of.

    Which length has the signing CA certificate @ places, where there are no problems with the Cisco VPN Client and the IOS5 ? 1024 or 2048 ?

    @Balfson: Yes, resolution offered by d12fk didn't work for me. Generated 2048 certificate with all fields filled, configured Cisco VPN Client to use that one as server certificate, deleted IPHone Profile for VPN @ IPhone, logged in to UserPortal and downloaded IOS Device Config, imported to IPhone, tested IPHone VPN->not working. Error: "Could not validate the server certificate."
  • 0
    It seems that the workaround instructions are missing the last step which exists in the article on the issue at the support wiki.

    Create a new server-certificate at the Remote Access / Certificate-Management:
    Keysize: 2048 Bit
    VPN ID Type/VPN ID: depends on the configuration, hostname or ip-address.
    Common Name: fill in the hostname or ip-address, depends on the Override hostname setting (Remote Access / Cisco VPN Client / iOS devices)
    Choose this certificate in Remote Access / Cisco VPN Client / Global.

    Finally re-download the new iOS configuration file from the User Portal.
  • 0 in reply to Scott_Klassen
    @Scott: I already redownloaded the IOS device configuration with the new 2048bit server certificate that was generated and configured as the server certificate, but it doesn't work.

    Again the question: Which length has your signing CA certifacte under the "Certifcate Authority" Tab, because ours only is a 1024 bit certifcate and this one, is the one that gets imported into the IPhone together with the user certifcate. The server certificate doesn't get imported into the IPhone. Could that be the problem ? That the signing CA certifcate only has 1024 bit ?
  • 0 in reply to AKitzmann
    Hi Folks,

    after some more investigations, we figured out that Apple decided to drop support for certificates using MD5. Meaning that certificates using SHA1 will work and all connections with certs using MD5 will not work anymore.

    Please find some further information at Loading….

    The issue is independent of the certificate length.

    Regards
    Dominic
  • 0
    So because my Certrificate Authority is a MD5 certificate i have no other choice as regenerating the CA certificate and therefore breaking our SITE TO SITE VPN ?
  • 0 in reply to AKitzmann
    Hi,

    yes, if you want to use VPN with your iphone, I do not see another chance than changing the certs to SHA1/2.

    Regards
    Dominic
  • 0
    Hi there,

    just wanted to reply that Re-Generating the signing CA certificate (Remote-Acess->Certificate Management->Advanced) worked. Afterwards its an SHA1 certificate with 1024 bit length.

    But also the second requirement is a 2048bit length Certificate unter Remote-Access->Cisco VPN Client->Global->Server certifcate , else VPN wont work even with all certificates in Chain beeinng SHA1 certificates.

    So both requirements are true. Just wanted to state this, because in the known issues, the 2048bit requirement isnt there anymore.

    Site-to-Site VPN didn't break, because Local RSA Pub Key didn't change. All other our Site-to-Site VPN connections where preshared keys.

    Thanks for responding. [:)]
  • 0
    i think you must configure the settings again. May be it helps you out...