Linux上的AnyConnect Hostscan签名验证错误

简介

本文档介绍如何解决Cisco AnyConnect安全移动客户端连接错误（如果在Linux上部署Hostscan）。

先决条件

要求

Cisco 建议您了解以下主题：

• 思科AnyConnect
• 思科安全桌面(CSD)
• Linux

使用的组件

本文档中的信息会影响运行CSD Hostscan的Linux用户。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

问题

当Linux用户结合使用CSD Hostscan运行Cisco Anyconnect时，会显示错误消息，指示Posture Assessment Failed并出现Hostscan Initialize错误：

在libcsd.log文件中，有一条错误消息指示用于对CSD Hostscan二进制数据进行签名的证书已过期：

[Thu Feb 07 18:52:15.774 2013][libcsd][all][csd_init]
  hello
[Thu Feb 07 18:52:15.774 2013][libcsd][all][csd_init]
  libcsd.so version 3.1.02040
[Thu Feb 07 18:52:15.774 2013][libcsd][debug]
  [hs_transport_init] initialization
[Thu Feb 07 18:52:15.774 2013][libcsd][debug]
  [hs_file_verify_with_killdate] verifying file
  signature: file = [/opt/cisco/anyconnect/lib/libaccurl.so.4.2.0],
  signer = [Cisco Systems, Inc.], type = [2]
[Thu Feb 07 18:52:15.963 2013][libcsd][error][verify_cb]
  Error 10, certificate has expired
[Thu Feb 07 18:52:15.963 2013][libcsd][error][verify_cert]
  Certificate is not trusted
[Thu Feb 07 18:52:15.964 2013][libcsd][error]
  [hs_file_verify_with_killdate] unable to verify
  the certificate trust.
[Thu Feb 07 18:52:15.964 2013][libcsd][error][hs_dl_load_global]
  file signature invalid, not
  loading library (/opt/cisco/anyconnect/lib/libaccurl.so.4.2.0).

注意：Mac和Windows用户不受此问题的影响。这是因为Mac和Windows客户端代码验证用于签名的证书在代码签名时有效，而Linux客户端代码检查用于签名的证书是否当前有效。

解决方案

由于问题是由证书的签名日期引起的，您可以更改系统时钟来允许用户连接；但是，这不是解决方法。

为了解决这一问题，我们提供了思科漏洞ID CSCue49663(仅限于注册客户)。要获得修复，请升级到AnyConnect版本3.1.02043，或仅将Hostscan引擎软件包升级到版本3.0.11046，如下所示：

webvpn 
enable outside 
csd hostscan image disk0:/hostscan_3.1.02043-k9.pkg
csd enable 
anyconnect image disk0:/anyconnect-win-3.1.02040-k9.pkg 1 regex "Windows NT" 
anyconnect image disk0:/anyconnect-macosx-i386-3.1.02040-k9.pkg 2 regex "Mac OS" 
anyconnect image disk0:/anyconnect-linux-3.1.02043-k9.pkg* 3 regex "Linux"

注意：这些链接连接到软件下载的正确版本(仅限注册客户)。