Linux上的AnyConnect Hostscan簽名驗證錯誤

簡介

本文檔介紹如果在Linux上部署Hostscan，如何解決Cisco AnyConnect安全移動客戶端連線錯誤。

必要條件

需求

思科建議您瞭解以下主題：

• Cisco AnyConnect
• Cisco Secure Desktop (CSD)
• Linux

採用元件

本文檔中的資訊會影響運行CSD Hostscan的Linux使用者。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

問題

當Linux使用者結合CSD Hostscan運行Cisco Anyconnect時，會顯示一條錯誤消息，指示Posture Assessment Failed並顯示Hostscan Initialize錯誤：

在libcsd.log檔案中，一條錯誤消息指示用於對CSD Hostscan二進位制資料進行簽名的證書已過期：

[Thu Feb 07 18:52:15.774 2013][libcsd][all][csd_init]
  hello
[Thu Feb 07 18:52:15.774 2013][libcsd][all][csd_init]
  libcsd.so version 3.1.02040
[Thu Feb 07 18:52:15.774 2013][libcsd][debug]
  [hs_transport_init] initialization
[Thu Feb 07 18:52:15.774 2013][libcsd][debug]
  [hs_file_verify_with_killdate] verifying file
  signature: file = [/opt/cisco/anyconnect/lib/libaccurl.so.4.2.0],
  signer = [Cisco Systems, Inc.], type = [2]
[Thu Feb 07 18:52:15.963 2013][libcsd][error][verify_cb]
  Error 10, certificate has expired
[Thu Feb 07 18:52:15.963 2013][libcsd][error][verify_cert]
  Certificate is not trusted
[Thu Feb 07 18:52:15.964 2013][libcsd][error]
  [hs_file_verify_with_killdate] unable to verify
  the certificate trust.
[Thu Feb 07 18:52:15.964 2013][libcsd][error][hs_dl_load_global]
  file signature invalid, not
  loading library (/opt/cisco/anyconnect/lib/libaccurl.so.4.2.0).

注意：Mac和Windows使用者不受此問題的影響。這是因為Mac和Windows客戶端代碼會驗證用於簽名的證書在代碼簽名時有效，而Linux客戶端代碼會檢查用於簽名的證書是否當前有效。

解決方案

由於問題是由證書簽名日期引起的，因此您可以更改系統時鐘以允許使用者進行連線；但是，這並不是修復方法。

已存檔思科漏洞ID CSCue49663(僅供註冊客戶使用)以解決此問題。要獲得此修復，請升級到AnyConnect版本3.1.02043，或僅將Hostscan引擎軟體套件升級到3.0.11046版，如下所示：

webvpn 
enable outside 
csd hostscan image disk0:/hostscan_3.1.02043-k9.pkg
csd enable 
anyconnect image disk0:/anyconnect-win-3.1.02040-k9.pkg 1 regex "Windows NT" 
anyconnect image disk0:/anyconnect-macosx-i386-3.1.02040-k9.pkg 2 regex "Mac OS" 
anyconnect image disk0:/anyconnect-linux-3.1.02043-k9.pkg* 3 regex "Linux"

注意：這些連結會連線到正確版本的軟體下載(僅限註冊客戶)。