AnyConnect: Zertifikatsfehler

Linux:

Mangels Dokumentation ist dieser Lösungsansatz durch Ausprobieren und Anylyse der log-Dateien entstanden. YMMV!

Problem:

Trotz installierten Zertifikaten erscheint die Fehlermedung "The following Certificate received from the Server could not be verified:..." beim Verbindungsaufbau.

Lösung:

Der AnyConnect Client sucht im Verzeichnis /opt/.cisco/certificates/ca nach den Wurzelzertifikaten. Dort liegt nach der Installation des AnyConnect allerdings nur ein VerisignClass3 Zerifikat. Das Verzeichnis heisst .cisco, ist also normalerweise nicht sichtbar. Legt man nun vom Zertifikatsverzeichnis des Systems einen symbolischen Link vom Telekom-Root-Zertifikat an, funktioniert die Verbindungsaufnahme ohne Fehlermeldung.

cd /opt/.cisco/certificates/ca

ln -s /etc/ssl/certs/T-TeleSec_GlobalRoot_Class_2.pem .

im home-Verzeichnis wird nach erfolgreichem Verbindungsaufbau eine .anyconnect Datei im XML-Format angelegt, in der der Thumbprint des Zertifikats abgelegt wird. Solange diese Datei existiert, ist es anscheinend egal, ob die Zertifikate in /opt/.cisco/... existieren.