Cisco VPN Client with Thawte SSL123

Hi, Marcus, and welcome to the User BB!

Please post the IPsec log lines related to a single connection. 

Cheers - Bob

Sorry for any short responses.  Posted from my iPhone.

Hi,

I think Markus is not speeking about a broken connection.

I'm hitting the same problem here.
Release 9.105-9 - a valid StartSSL certificate is imported, also ca and intermediate certificates are imported. But when I try to configure "Cisco™ VPN Client" in the backend to use the new imported server certificate the errormessage "The certificate of the CA that issued the 'host.domain.com' certificate is needed." is presented in the backend. 

Can someone help me with this error?

Thanks in advance

Marc

Hello, Marc, and welcome to the User BB!

You're right that it's not an issue of a broken connection, it's a connection that fails to establish.  The first place to start is with the IPsec log lines from a single connection attempt.  Also, just out of caution, check the Intrusion Prevention log to see if there's any Anti-DoS activity during the attempt.

Cheers - Bob

Hi Bob, 

thank you for your answer.

I'm a little bit confused. I can't make an connection attempt to produce some logs. The problem occurs when I want to configure the UTM. I've attached an screenshot that shows the error message. I want to configure the Cisco-VPN-Remoteconnection to use a new server certificate. Certificate, CA and Intermediate are imported. No problem, no error. When I go back to the VPN-Setting and choose the new certificate and submit then the error message marked in the screenshot is shown. It's an 4096bit Wildcard-SSL-Certificate from StartSSL.

The IPSec log is complete empty.


Greets 

Marc

Oh, I see now, it's not even a connection attempt - it's at the configuration time.  Apparently, an unsuccessful change of the server certificate is not recorded in the IPsec log.

There must be something in the Configuration daemon log file though.  If so, then it might be worth going to the commandline to get the corresponding lines of confd-debug.log.  I don't know that that will give you any more information, but it's the last place I can think of to look in the UTM to get an indication of what the conflict might be.

If not, then you'll need to examine the certs to see why the UTM thinks the CA is not the right one for your new server certificate.

Last thought.  If you uploaded the Cert and CA separately as PEM files, try deleting them and uploading the Cert+CA as a PKCS#12 file - I think you can download that directly from StartSSL.

Cheers - Bob

Hi Bob,

thank you for the hint to confd-debug.log.

The only relevant line, when trying to use the ssl-certificate is this one:

2013:09:02-18:36:02 asg-lgs81-1 confd[24662]: W Message::err_set:1057() => id="3100" severity="warn" sys="System" sub="confd" name="IPSEC_RW_CISCO_IPHONE_CA (Das Zertifikat der CA, welche das Zertifikat '*.ecomit.ws' ausgestellt hat, wird benötigt. | Wenn Sie fortfahren, wird die iOS-Unterstützung für Cisco VPN Client deaktiviert.)" user="admin" srcip="10.242.1.2" facility="webadmin" client="webadmin.plx" call="set_object" cert_name="*.*******.**"

So there seems to be a problem with the iOS-Support. Indeed, if I switch of iOS-Support for Cisco-VPN the certificate is accepted.
The complete error message is not shown on the config page and so the part for the iOS-Support is missing. 

But, nevertheless, it's giving me no clue what's wrong with the certificate, or what is expected for iOS Support to working.

I've tried both ways: created an pkcs-container, including the complete chain, and uploading every certificate on it's own. The result doesn't differ: it's not working.

I'll try it with a "non-wildcard"-certificate and / or with 2048bit, instead of 4096bit. Maybe something is going wrong there.

Or do you have any other hint for me?


Greets

Marc

I wonder if that's a limitation imposed by iOS.  If you disable iOS before configuring, does WebAdmin let you enable iOS and then can you connect with your iPhone?

Cheers - Bob

Hello,

if I disable the "Cisco™ IPsec configuration status for iOS™ devices" I can enable "Cisco VPN Client" with the server certificate used for the Sophos UTM GUI.

But if I want to re-enable the "Cisco™ IPsec configuration status for iOS™ devices" I get the same error message again:

Remote Access → Cisco™ VPN Client → Global:
The certificate of the CA that issued the 'host.domain.com' certificate is needed. Continuing will disable Cisco VPN client iOS support.

I imported the correct Root CA and Intermediate CA for my server certificate. The server certificate can be used without problems for the UTM GUI

BR
Markus

Marc & Markus,

What's the reason to want to use something other than the 'VPN Signing CA" and the "Local X509 Cert" for IPsec?

Then again, maybe this is what is seen when the Cert uses MD5 (no longer supported by Apple) instead of SHA1. What is the 'Signature Algorithm' in your CAs and Cert?

Cheers - Bob