複数証明書ベースの認証を使用したAnyConnectクライアント用のSSLゲートウェイとしてのASAの設定

はじめに

このドキュメントでは、複数証明書ベースの認証を使用するCisco AnyConnectセキュアモビリティクライアントのセキュアソケットレイヤ(SSL)ゲートウェイとして適応型セキュリティアプライアンス(ASA)を設定する方法について説明します。 

前提条件

要件

次の項目に関する知識があることが推奨されます。

• ASA CLI設定とSSL VPN設定に関する基礎知識
• X509 証明書に関する基本的な知識

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアのバージョンに基づいています。

• Cisco適応型セキュリティアプライアンス(ASA)ソフトウェアバージョン9.7(1)以降
• Cisco AnyConnect セキュア モビリティ クライアント 4.4 がインストールされた Windows 10

注：シスコの「ソフトウェアダウンロード」(登録ユーザ専用)から、AnyConnect VPN Clientパッケージ(anyconnect-win*.pkg)をダウンロードします。AnyConnect VPN クライアントを ASA のフラッシュ メモリにコピーします。これは、ASA との SSL VPN 接続を確立するためにリモート ユーザ コンピュータにダウンロードされます。詳細については、ASA コンフィギュレーション ガイドの「AnyConnect クライアントのインストール」を参照してください。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

背景説明

ソフトウェアバージョン9.7(1)より前では、ASAは単一の証明書ベースの認証をサポートしています。これは、単一の接続の試行に対して、ユーザまたはマシンのどちらか一方を認証でき、両方を認証できないことを意味します。

複数証明書ベースの認証では、VPNアクセスを許可するユーザのID証明書の認証に加えて、ASAでマシンまたはデバイスの証明書を検証し、デバイスが企業発行のデバイスであることを確認できます。

制限事項

• 現在、複数の証明書認証では、証明書の数が2つに制限されています。
  
  
• AnyConnectクライアントは、複数の証明書認証のサポートを示す必要があります。そうでない場合、ゲートウェイはレガシー認証方式の1つを使用するか、接続に失敗します。AnyConnectバージョン4.4.04030以降では、マルチ証明書ベースの認証がサポートされています。
  
  
• Windowsプラットフォームの場合、マシン証明書は最初のSSLハンドシェイク時に送信され、その後、集約認証プロトコルでユーザ証明書が送信されます。Windowsマシンストアからの2つの証明書はサポートされていません。
  
  
• 複数の証明書認証では、XMLプロファイルの下にあるEnable automatic Certificate Selectionプリファレンスが無視されます。つまり、クライアントでは、両方の証明書が失敗するまですべての組み合わせを認証しようとします。これにより、Anyconnectが接続を試行する間に大幅な遅延が発生する可能性があります。したがって、クライアントマシンで複数のユーザ/マシン証明書を使用する場合は、証明書照合を使用することを推奨します。
  
  
• Anyconnect SSL VPNでは、RSAベースの証明書だけがサポートされます。
  
  
• 集約認証中にサポートされるのは、SHA256、SHA384、およびSHA512ベースの証明書だけです。

Windows v/s非Windowsプラットフォームでの証明書の選択

WindowsのAnyConnectは、マシンストア（特権プロセスのみがアクセス可能）から取得された証明書とユーザストア（ログインユーザが所有するプロセスのみがアクセス可能）から取得された証明書を区別します。  Windows以外のプラットフォームでは、AnyConnectによってこのような区別は行われません。

ASAでは、実際に受信した証明書のタイプに基づいて、ASA管理者が設定した接続ポリシーを適用できます。  Windowsの場合、タイプは次のとおりです。

• 1台のマシンと1人のユーザ
• 2ユーザ。 

Windows以外のプラットフォームでは、表示は常に2つのユーザ証明書です。

複数の証明書認証の接続フロー

設定

ASDM経由での複数の証明書認証の設定

このセクションでは、複数の証明書認証を使用するAnyConnectクライアント用のSSLゲートウェイとしてCisco ASAを設定する方法について説明します。

複数の証明書認証用にAnyconnectクライアントを設定するには、ASDMで次の手順を実行します。 

ステップ 1：ユーザ証明書とマシン証明書のCA証明書をASAにインストールします。

    証明書のインストールについては、「ASAの設定：SSLデジタル証明書のインストールと更新」を参照してください。

ステップ 2：Configuration > Remote Access > Group Policyの順に移動し、グループポリシーを設定します。 

ステップ 3： 新しい接続プロファイルを設定し、Authentication MethodをMultiple Certificatesに選択して、ステップ1で作成したグループポリシーを選択します。

ステップ 4：その他の詳細な設定については、『ローカルLANへのVPNクライアントおよびAnyConnectクライアントアクセスの設定例』を参照してください

CLIによる複数の証明書認証のためのASAの設定

  

注：このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool(登録ユーザ専用)を使用してください。

ASA Version 9.7(1) 
!
hostname GCE-ASA
!
! Configure the VPN Pool
ip local pool ANYCONNECT-POOL 192.168.100.1-192.168.100.254 mask 255.255.255.0
!
interface GigabitEthernet0/0
 nameif outside
 security-level 100
 ip address 10.197.223.81 255.255.254.0 
!
interface GigabitEthernet0/1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0 
!
! Configure Objects 
object network obj-AnyConnect_pool
 subnet 192.168.100.0 255.255.255.0
object network obj-Local_Lan
 subnet 192.168.1.0 255.255.255.0
!
! Configure Split-tunnel access-list
access-list split standard permit 192.168.1.0 255.255.255.0
!
! Configure Nat-Exemption for VPN traffic
nat (inside,outside) source static obj-Local_Lan obj-Local_Lan destination static obj-AnyConnect_pool obj-AnyConnect_pool no-proxy-arp route-lookup
!
! TrustPoint for User CA certificate
crypto ca trustpoint UserCA
 enrollment terminal
 crl configure
!
! Trustpoint for Machine CA certificate
crypto ca trustpoint MachineCA
 enrollment terminal
 crl configure
!
!
crypto ca certificate chain UserCA
 certificate ca 00ea473dc301c2fdc7
 30820385 3082026d a0030201 02020900 ea473dc3 01c2fdc7 300d0609 2a864886
<snip>
 3d57bea7 3e30c8f0 f391bab4 855562fd 8e21891f 4acb6a46 281af1f2 20eb0592
 012d7d99 e87f6742 d5
 quit


crypto ca certificate chain MachineCA
 certificate ca 00ba27b1f331aea6fc
 30820399 30820281 a0030201 02020900 ba27b1f3 31aea6fc 300d0609 2a864886
 f70d0101 0b050030 63310b30 09060355 04061302 494e3112 30100603 5504080c
<snip>
 2c214c7a 79eb8651 6ad1eabd ae1ffbba d0750f3e 81ce5132 b5546f93 2c0d6ccf
 606add30 2a73b927 7f4a73e5 2451a385 d9a96b50 6ebeba66 fc2e496b fa
 quit
!
! Enable AnyConnect
webvpn
 enable outside
 anyconnect image disk0:/anyconnect-win-4.4.00243-webdeploy-k9.pkg 2
 anyconnect enable
 tunnel-group-list enable
! 
! Configure Group-Policy
group-policy Grouppolicy-MCA internal
group-policy Grouppolicy-MCA attributes
 vpn-tunnel-protocol ssl-client
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value split
!
! Configure Tunnel-Group
tunnel-group ANYCONNECT-MCA type remote-access
tunnel-group ANYCONNECT-MCA general-attributes
 address-pool ANYCONNECT-POOL
 default-group-policy Grouppolicy-MCA
tunnel-group ANYCONNECT-MCA webvpn-attributes
 authentication multiple-certificate
 group-alias ANYCONNECT-MCA enable
 group-url https://10.197.223.81/MCA enable

確認

ここでは、設定が正常に機能しているかどうかを確認します。

注：特定のshowコマンドが、アウトプットインタープリタツール(登録ユーザ専用)でサポートされています。show コマンドの出力の分析を表示するには、Output Interpreter Tool を使用します。

CLIを使用したASAへのインストール済み証明書の表示

show crypto ca certificate（隠しコマンド）

GCE-ASA(config)# show crypto ca certificate

CA Certificate

Status: Available
Certificate Serial Number: 00ea473dc301c2fdc7
Certificate Usage: General Purpose
Public Key Type: RSA (2048 bits)
Signature Algorithm: SHA256 with RSA Encryption
Issuer Name:
cn=UserCA.cisco.com
o=Cisco
l=Dallas
st=Texas
c=IN
Subject Name:
cn=UserCA.cisco.com
o=Cisco
l=Dallas
st=Texas
c=IN
Validity Date:
start date: 15:40:28 UTC Sep 30 2017
enddate: 15:40:28 UTC Jul202020
Storage: config
Associated Trustpoints: UserCA


CA Certificate

Status: Available
Certificate Serial Number: 00ba27b1f331aea6fc
Certificate Usage: General Purpose
Public Key Type: RSA (2048 bits)
Signature Algorithm: SHA256 with RSA Encryption
Issuer Name:
cn=MachineCA.cisco.com
o=Cisco
l=Bangalore
st=Karnataka
c=IN
Subject Name:
cn=MachineCA.cisco.com
o=Cisco
l=Bangalore
st=Karnataka
c=IN
Validity Date:
start date: 15:29:23 UTC Sep 30 2017
enddate: 15:29:23 UTC Jul202020
Storage: config
Associated Trustpoints: MachineCA

クライアントにインストールされている証明書の表示

 インストールを確認するには、証明書マネージャ(certmgr.msc)を使用します。

マシン証明書

ユーザ証明書

接続を確認するには、次のコマンドを実行します。

GCE-ASA# sh vpn-sessiondb detail anyconnect 

Session Type: AnyConnect Detailed

Username : MachineID.cisco.com Index : 296
Assigned IP : 192.168.100.1 Public IP : 10.197.223.235
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES128 DTLS-Tunnel: (1)AES256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1
Bytes Tx : 11542 Bytes Rx : 2097
Pkts Tx : 8 Pkts Rx : 29
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : Grouppolicy-MCA Tunnel Group : ANYCONNECT-MCA
Login Time : 22:26:27 UTC Sun Oct 1 2017
Duration : 0h:00m:21s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 0ac5df510012800059d16b93
Security Grp : none
AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1

AnyConnect-Parent:
 Tunnel ID : 296.1
 Public IP : 10.197.223.235
 Encryption : none Hashing : none
 TCP Src Port : 51609 TCP Dst Port : 443
 Auth Mode : Multiple-certificate
 Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
 Client OS : win
 Client OS Ver: 10.0.14393
 Client Type : AnyConnect
 Client Ver : Cisco AnyConnect VPN Agent for Windows 4.4.01054
 Bytes Tx : 5771 Bytes Rx : 0
 Pkts Tx : 4 Pkts Rx : 0
 Pkts Tx Drop : 0 Pkts Rx Drop : 0

SSL-Tunnel:
 Tunnel ID : 296.2
 Assigned IP : 192.168.100.1 Public IP : 10.197.223.235
 Encryption : AES128 Hashing : SHA1
 Ciphersuite : AES128-SHA
 Encapsulation: TLSv1.2 TCP Src Port : 51612
 TCP Dst Port : 443 Auth Mode : Multiple-certificate
 Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
 Client OS : Windows
 Client Type : SSL VPN Client
 Client Ver : Cisco AnyConnect VPN Agent for Windows 4.4.01054
 Bytes Tx : 5771 Bytes Rx : 446
 Pkts Tx : 4 Pkts Rx : 5
 Pkts Tx Drop : 0 Pkts Rx Drop : 0

DTLS-Tunnel:
 Tunnel ID : 296.3
 Assigned IP : 192.168.100.1 Public IP : 10.197.223.235
 Encryption : AES256 Hashing : SHA1
 Ciphersuite : AES256-SHA
 Encapsulation: DTLSv1.0 UDP Src Port : 63385
 UDP Dst Port : 443 Auth Mode : Multiple-certificate
 Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
 Client OS : Windows
 Client Type : DTLS VPN Client
 Client Ver : Cisco AnyConnect VPN Agent for Windows 4.4.01054
 Bytes Tx : 0 Bytes Rx : 1651
 Pkts Tx : 0 Pkts Rx : 24
 Pkts Tx Drop : 0 Pkts Rx Drop : 0

  

  

トラブルシュート

ここでは、設定のトラブルシューティングに使用できる情報を示します。

注：debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

注意:ASAでは、さまざまなデバッグレベルを設定できます。デフォルトでは、レベル1が使用されます。デバッグ レベルを変更すると、デバッグの冗長性が高くなる場合があります。特に実稼働環境では、注意して実行してください。

•  debug crypto ca messages 127
•  Debug crypto ca transaction 127（CAトランザクションのデバッグ）

CRYPTO_PKI: Begin sorted cert chain
---------Certificate--------:
Serial:  00B6D609E1D68B9334
Subject: cn=MachineID.cisco.com,ou=Cisco,l=Bangalore,st=Karnataka,c=IN
Issuer:  cn=MachineCA.cisco.com,o=Cisco,l=Bangalore,st=Karnataka,c=IN

CRYPTO_PKI: End sorted cert chain
CRYPTO_PKI: Cert chain pre-processing: List size is 1, trustpool is not in use
CRYPTO_PKI: List pruning is not necessary.
CRYPTO_PKI: Sorted chain size is: 1
CRYPTO_PKI: Found ID cert. serial number: 00B6D609E1D68B9334, subject name: cn=MachineID.cisco.com,ou=Cisco,l=Bangalore,st=Karnataka,c=IN
CRYPTO_PKI: Verifying certificate with serial number: 00B6D609E1D68B9334, subject name: cn=MachineID.cisco.com,ou=Cisco,l=Bangalore,st=Karnataka,c=IN, issuer_name: cn=MachineCA.cisco.com,o=Cisco,l=Bangalore,st=Karnataka,c=IN, signature alg: SHA256/RSA.

CRYPTO_PKI(Cert Lookup) issuer="cn=MachineCA.cisco.com,o=Cisco,l=Bangalore,st=Karnataka,c=IN" serial number=00 b6 d6 09 e1 d6 8b 93 34                         |  ........4

CRYPTO_PKI: valid cert with warning.

CRYPTO_PKI: valid cert status.

CRYPTO_PKI: Begin sorted cert chain
---------Certificate--------:
Serial:  00B6D609E1D68B9334
Subject: cn=MachineID.cisco.com,ou=Cisco,l=Bangalore,st=Karnataka,c=IN
Issuer:  cn=MachineCA.cisco.com,o=Cisco,l=Bangalore,st=Karnataka,c=IN

CRYPTO_PKI: End sorted cert chain
CRYPTO_PKI: Cert chain pre-processing: List size is 1, trustpool is not in use
CRYPTO_PKI: List pruning is not necessary.
CRYPTO_PKI: Sorted chain size is: 1
CRYPTO_PKI: Found ID cert. serial number: 00B6D609E1D68B9334, subject name: cn=MachineID.cisco.com,ou=Cisco,l=Bangalore,st=Karnataka,c=IN
CRYPTO_PKI: Verifying certificate with serial number: 00B6D609E1D68B9334, subject name: cn=MachineID.cisco.com,ou=Cisco,l=Bangalore,st=Karnataka,c=IN, issuer_name: cn=MachineCA.cisco.com,o=Cisco,l=Bangalore,st=Karnataka,c=IN, signature alg: SHA256/RSA.

CRYPTO_PKI(Cert Lookup) issuer="cn=MachineCA.cisco.com,o=Cisco,l=Bangalore,st=Karnataka,c=IN" serial number=00 b6 d6 09 e1 d6 8b 93 34                         |  ........4

CRYPTO_PKI: valid cert with warning.

CRYPTO_PKI: valid cert status.

CRYPTO_PKI: Begin sorted cert chain
---------Certificate--------:
Serial:  00A5A42E24A345E11A
Subject: cn=UserID.cisco.com,ou=TAC,o=Cisco,l=Dallas,st=Texas,c=IN
Issuer:  cn=UserCA.cisco.com,o=Cisco,l=Dallas,st=Texas,c=IN

CRYPTO_PKI: End sorted cert chain
CRYPTO_PKI: Cert chain pre-processing: List size is 1, trustpool is not in use
CRYPTO_PKI: List pruning is not necessary.
CRYPTO_PKI: Sorted chain size is: 1
CRYPTO_PKI: Found ID cert. serial number: 00A5A42E24A345E11A, subject name: cn=UserID.cisco.com,ou=TAC,o=Cisco,l=Dallas,st=Texas,c=IN
CRYPTO_PKI: Verifying certificate with serial number: 00A5A42E24A345E11A, subject name: cn=UserID.cisco.com,ou=TAC,o=Cisco,l=Dallas,st=Texas,c=IN, issuer_name: cn=UserCA.cisco.com,o=Cisco,l=Dallas,st=Texas,c=IN, signature alg: SHA256/RSA.

CRYPTO_PKI(Cert Lookup) issuer="cn=UserCA.cisco.com,o=Cisco,l=Dallas,st=Texas,c=IN" serial number=00 a5 a4 2e 24 a3 45 e1 1a                         |  ....$.E..

CRYPTO_PKI: valid cert with warning.

CRYPTO_PKI: valid cert status.

• debug aggregate-auth xml 127

Received XML message below from the client
<?xml version="1.0" encoding="UTF-8"?>
<config-auth client="vpn" type="init" aggregate-auth-version="2">
<version who="vpn">4.4.01054</version>
<device-id device-type="VMware, Inc. VMware Virtual Platform" platform-version="10.0.14393 #snip#  win</device-id>
<mac-address-list>
<mac-address>00-0c-29-e4-f5-bd</mac-address></mac-address-list>
<group-select>ANYCONNECT-MCA</group-select>
<group-access>https://10.197.223.81/MCA</group-access>
<capabilities>
<auth-method>single-sign-on</auth-method>
<auth-method>multiple-cert</auth-method></capabilities>
</config-auth>

Generated XML message below
<?xml version="1.0" encoding="UTF-8"?>
<config-auth client="vpn" type="auth-request" aggregate-auth-version="2">
<opaque is-for="sg">
<tunnel-group>ANYCONNECT-MCA</tunnel-group>
<aggauth-handle>136775778</aggauth-handle>
<auth-method>multiple-cert</auth-method>
<auth-method>single-sign-on</auth-method>
<config-hash>1506879881148</config-hash>
</opaque>
<multiple-client-cert-request>
<hash-algorithm>sha256</hash-algorithm>
<hash-algorithm>sha384</hash-algorithm>
<hash-algorithm>sha512</hash-algorithm>
</multiple-client-cert-request>
<random>FA4003BD87436B227####snip####C138A08FF724F0100015B863F750914839EE79C86DFE8F0B9A0199E2</random>
</config-auth>

Received XML message below from the client
<?xml version="1.0" encoding="UTF-8"?>
<config-auth client="vpn" type="auth-reply" aggregate-auth-version="2">
<version who="vpn">4.4.01054</version>
<device-id device-type="VMware, Inc. VMware Virtual Platform" platform-version="10.0.14393 ##snip##   win</device-id>
<mac-address-list>
<mac-address>00-0c-29-e4-f5-bd</mac-address></mac-address-list>
<session-token></session-token>
<session-id></session-id>
<opaque is-for="sg">

<tunnel-group>ANYCONNECT-MCA</tunnel-group>
<aggauth-handle>608423386</aggauth-handle>
<auth-method>multiple-cert</auth-method>
<auth-method>single-sign-on</auth-method>
<config-hash>1506879881148</config-hash></opaque>
<auth>
<client-cert-chain cert-store="1M">
<client-cert-sent-via-protocol></client-cert-sent-via-protocol></client-cert-chain>
<client-cert-chain cert-store="1U">
<client-cert cert-format="pkcs7">MIIG+AYJKoZIhvcNAQcCoIIG6TCCBuU
yTCCAzwwggIkAgkApaQuJKNF4RowDQYJKoZIhvcNAQELBQAwWTELMAkGA1UEBhMC
#Snip#
gSCx8Luo9V76nPjDI8PORurSFVWL9jiGJH0rLakYoGv
</client-cert>
<client-cert-auth-signature hash-algorithm-chosen="sha512">FIYur1Dzb4VPThVZtYwxSsCVRBUin/8MwWK+G5u2Phr4fJ
#snip#
EYt4G2hQ4hySySYqD4L4iV91uCT5b5Bmr5HZmSqKehg0zrDBjqxx7CLMSf2pSmQnjMwi6D0ygT=</client-cert-auth-signature>
</client-cert-chain>
</auth>
</config-auth>
Received attribute hash-algorithm-chosen in XML message from client
Base64 Signature (len=349):
FIYur1Dzb4VPThVZtYwxSsCVRBUin/8MwWK+G5u2Phr4fJI9aWFqd1BbV9WhSTsF
EYt4G2hQ4hySySYqD4L4iV91uCT5b5Bmr5HZmSqKehg0zrDBjqxx7CLMSf2pSmQn
ABXv++cN7lNWGHK91EAvNRcpCX4TdZ+6ZKpL4sClu8vZJeW2jwGmPnYesG3sttrS
TFBRqg74+1TFSbUuIEzn8MLXZqHbOnA19B9gyXZJon8eh3Z7cDspFiR0xKBu8iYH
L+ES84UNtDQjatIN4EiS8SD/5QPAunCyvAUBvK5FZ4c4TpnF6MIEPhjMwi6D0ygT
sm2218mstLDNKBouaTjB3A==
Successful Base64 signature decode, len 256
Loading cert into PKI
Waiting for certificate validation result
Verifying signature
Successfully verified signature

•   debug aggregate-auth ssl 127

/CSCOSSLC/config-auth
Processing client request
XML successfully parsed
Processing request (init)
INIT-no-cert: Client has not sent a certificate
Found TG ANYCONNECT-MCA by URL https://10.197.223.81/MCA
INIT-no-cert: Resolve tunnel group (ANYCONNECT-MCA) alias (NULL) Cert or URL mapped YES
INIT-no-cert: Client advertised multi-cert authentication support
[332565382] Created auth info for client 10.197.223.235
[332565382] Started timer (3 mins) for auth info for client 10.197.223.235
INIT-no-cert: Tunnel group ANYCONNECT-MCA requires multi-cert authentication
[332565382] Generating multiple certificate request
[332565382] Saved message of len 699 to verify signature
rcode from handler = 0
Sending response
/CSCOSSLC/config-auth
Processing client request
XML successfully parsed
Processing request (init)
INIT-cert: Client has certificate, groupSelect ANYCONNECT-MCA
Found TG ANYCONNECT-MCA by URL https://10.197.223.81/MCA
INIT-cert: Found tunnel group (ANYCONNECT-MCA) alias (NULL) url or certmap YES
INIT-cert: Client advertised multi-cert authentication support
[462466710] Created auth info for client 10.197.223.235
[462466710] Started timer (3 mins) for auth info for client 10.197.223.235
INIT-cert: Tunnel group ANYCONNECT-MCA requires multi-cert authentication
Resetting FCADB entry
[462466710] Generating multiple certificate request
[462466710] Saved message of len 741 to verify signature
rcode from handler = 0
Sending response
/CSCOSSLC/config-auth
Processing client request
XML successfully parsed
Processing request (auth-reply)
auth-reply:[462466710] searching for authinfo
[462466710] Found auth info for client 10.197.223.235, update expire timer (3 mins)
Found tunnel group (ANYCONNECT-MCA) alias ANYCONNECT-MCA
[462466710] Multi cert authentication
[462466710] First cert came in SSL protocol, len 891
[462466710] Success loading cert into PKI
[462466710] Authenticating second cert
[462466710] Sending Message AGGAUTH_MSG_ATHENTICATE_CERT(1)
[462466710] Fiber waiting
Aggauth Message handler received message AGGAUTH_MSG_ATHENTICATE_CERT
[462466710] Process certificate authentication request
[462466710] Waiting for async certificate verification
[462466710] Verify cert callback
[462466710] Certificate Authentication success - verifying signature
[462466710] Signature verify success
[462466710] Signalling fiber
[462466710] Fiber continuing
[462466710] Found auth info
[462466710] Resolved tunnel group (ANYCONNECT-MCA), Cert or URL mapped YES
Resetting FCADB entry
Attempting cert only login
Authorization username = MachineID.cisco.com
Opened AAA handle 335892526
Making AAA request
AAA request finished
Send auth complete
rcode from handler = 0
Sending response
Closing AAA handle 335892526
[462466710] Destroy auth info for 10.197.223.235
[462466710] Free auth info for 10.197.223.235

関連情報

• Cisco ASAシリーズ9.7(x)リリースノート
• 『Cisco AnyConnect Secure Mobility Client Administrator Guide, Release 4.4』
• AnyConnect VPN クライアントのトラブルシューティング ガイド - 一般的な問題
• テクニカル サポートとドキュメント