SVN5630配置SSL-VPN业务,windows XP SP2系统的终端无法连接到网关

发布时间:  2016-04-06 浏览次数:  548 下载次数:  0
问题描述

SVN5630配置SSL-VPN业务,windows XP SP2系统的终端无法通过客户端连接到网关,导致终端的医保刷卡软件无法正常访问医保处总部服务器业务,无法刷卡

告警信息


处理过程

1、 复现故障,发现通过客户端登录ssl-vpn时报错:连接网关失败,如下图:


2、测试本地终端到网关设备的连通性,ping包可以ping通,telnet相应的端口号也可以通,证明网络是通的。
3、测试通过IE浏览器访问网页的方式登录网关,提示网页无法打开,如下图:

4、查看其它终端是否有类似情况,发现Windows7系统和Windows XP SP3无此故障,考虑是否为Windows XP SP2系统的问题
5、因该系统较旧,考虑是否因终端不能识别虚拟网关的证书签名而导致该问题,制作一本sha1WithRSAEncryption签名算法的服务器证书。导入此证书作为虚拟网关设备证书后,XP SP2操作系统就能正常打开SVN登录页面,且客户端启动网络扩展成功,可正常访问vpn虚拟网关。

根因

系终端不能识别虚拟网关的证书签名而终止了访问。通过“display certificate-server”查看虚拟网关证书信息,其中就包含证书签名算法。

0x80096004: TRUST_E_CERT_SIGNATUREthe signature of the certificate cannot be verified.

 

 

USG3000/SVN3000设备证书的签名算法:md5WithRSAEncryption

USG2100/USG2200/USG5100/USG5500/SVN2200/SVN5500设备证书额签名算法:sha1WithRSAEncryption

USG6300/USG6500/USG6600/SVN5600/SVN5800设备证书的签名算法:sha256WithRSAEncryption

解决方案

通过证书制作工具(如xca),制作一本sha1WithRSAEncryption签名算法的服务器证书。导入此证书作为虚拟网关设备证书后,XP SP2SP2以下操作系统就能正常打开SVN登录页面,且客户端启动网络扩展成功

END