Kompatibilitätsprobleme zwischen neuestem Cisco AnyConnect Secure Mobility Client und Thawte SSL-Zertifikaten

Wird ein Virtual Private Network (VPN) betrieben, ist der Einsatz von VPN-Clients zur Nutzerauthentifizierung und zum Aufbau eines verschlüsselten Tunnels zum VPN-Router unerlässlich. Ein beliebter VPN-Client ist der Cisco AnyConnect Secure Mobility Client. Er arbeitet SSL-basiert und wird auf dem Rechner des Nutzers installiert. Der Client bietet einen komfortablen Download-, Installations- und Upgrade-Service bei Verbindungsaufnahme zum VPN-Router für nahezu alle gängigen Windows-, Linux- und Mac-Systeme, ist als App auch für mobile Endgeräte verfügbar und nutzt den HTTPS-Port 443, was ihn auch transparent für Firewalls macht – um nur einige Produktfeatures zu nennen.

Zur Nutzerauthentifizierung gegenüber dem VPN-Router und zur Verschlüsselung greift der Cisco AnyConnect Secure Mobility Client auf SSL-Zertifikate zurück. Die PSW GROUP hat festgestellt, dass beim Einsatz von Thawte SSL-Zertifikaten mit dem Cisco AnyConnect Secure Mobility Client in den Versionen 3.1.01065 oder 3.1.02026 eine Zertifikatsfehlermeldung beim Aufbau der VPN-Verbindung angezeigt wird. Diese Fehlermeldung ist darauf zurückzuführen, dass Cisco in den genannten Versionen des VPN-Clients zusätzliche Sicherheitsmaßnahmen implementiert hat. Damit ein SSL-Zertifikat ordnungsgemäß vom Cisco AnyConnect Secure Mobility Client validiert werden kann, muss es die Key Usage-Attribute der digitalen Signatur und der Schlüsselverschlüsselung und das Enhanced Key Usage-Attribut beinhalten.

Diese neuen Attribute sind derzeit nur in den SSL-Zertifikaten von Comodo und den True Business ID-Zertifikaten von GeoTrust vorhanden. Deshalb empfehlen wir beim Einsatz der neuen Cisco AnyConnect Secure Mobility Client-Versionen vorerst nur auf diese Zertifikate zurückzugreifen, um Kompatibilitätsprobleme zu vermeiden. Selbstverständlich finden Sie diese Zertifikate in unserem SSL-Produktportfolio.