Cisco VPN Client with Thawte SSL123

Oh, I see now, it's not even a connection attempt - it's at the configuration time.  Apparently, an unsuccessful change of the server certificate is not recorded in the IPsec log.

There must be something in the Configuration daemon log file though.  If so, then it might be worth going to the commandline to get the corresponding lines of confd-debug.log.  I don't know that that will give you any more information, but it's the last place I can think of to look in the UTM to get an indication of what the conflict might be.

If not, then you'll need to examine the certs to see why the UTM thinks the CA is not the right one for your new server certificate.

Last thought.  If you uploaded the Cert and CA separately as PEM files, try deleting them and uploading the Cert+CA as a PKCS#12 file - I think you can download that directly from StartSSL.

Cheers - Bob

Oh, I see now, it's not even a connection attempt - it's at the configuration time.  Apparently, an unsuccessful change of the server certificate is not recorded in the IPsec log.

There must be something in the Configuration daemon log file though.  If so, then it might be worth going to the commandline to get the corresponding lines of confd-debug.log.  I don't know that that will give you any more information, but it's the last place I can think of to look in the UTM to get an indication of what the conflict might be.

If not, then you'll need to examine the certs to see why the UTM thinks the CA is not the right one for your new server certificate.

Last thought.  If you uploaded the Cert and CA separately as PEM files, try deleting them and uploading the Cert+CA as a PKCS#12 file - I think you can download that directly from StartSSL.

Cheers - Bob

Hi Bob,

thank you for the hint to confd-debug.log.

The only relevant line, when trying to use the ssl-certificate is this one:

2013:09:02-18:36:02 asg-lgs81-1 confd[24662]: W Message::err_set:1057() => id="3100" severity="warn" sys="System" sub="confd" name="IPSEC_RW_CISCO_IPHONE_CA (Das Zertifikat der CA, welche das Zertifikat '*.ecomit.ws' ausgestellt hat, wird benötigt. | Wenn Sie fortfahren, wird die iOS-Unterstützung für Cisco VPN Client deaktiviert.)" user="admin" srcip="10.242.1.2" facility="webadmin" client="webadmin.plx" call="set_object" cert_name="*.*******.**"

So there seems to be a problem with the iOS-Support. Indeed, if I switch of iOS-Support for Cisco-VPN the certificate is accepted.
The complete error message is not shown on the config page and so the part for the iOS-Support is missing. 

But, nevertheless, it's giving me no clue what's wrong with the certificate, or what is expected for iOS Support to working.

I've tried both ways: created an pkcs-container, including the complete chain, and uploading every certificate on it's own. The result doesn't differ: it's not working.

I'll try it with a "non-wildcard"-certificate and / or with 2048bit, instead of 4096bit. Maybe something is going wrong there.

Or do you have any other hint for me?


Greets

Marc