Después de largas sesiones de intentos fallidos hemos encontrado el problema: el formato de los certificados. Pero vayamos por partes:
Primeramente, hemos de conseguir el software del cliente por ejemplo de aquí: http://cms.uni-konstanz.de/index.php?id=90/
En Linux tendremos que compilarlo así que nos harán falta todas las herramientas de compilación + linux-headers-`uname -e`
En Mac simplemente instalamos el mpkg.
En mi caso, para validarnos contra la GVA, necesitamos 3 certificados: el rootca.crt el accv-ca2.crt y el nuestro de firma, en formato p12.
Importamos el personal de la siguiente manera:
cisco_cert_mgr -U -op import
le pasamos el nombre del fichero y nos tiene que decir que lo ha importado correctamente.
Seguidamente tendremos que cambiar el formato de los otros 2. Resulta que la GVA nos los pasa en formato ASCII, podemos hacer un cat del fichero y ver el contenido perfectamente, pero éste formato no le gusta al software del cliente.
Gracias a un compi de la parte de Comunicaciones, mediante un strace al ejecutar el cisco_cert_mgr -R -op import vimos que cascaba en la primera línea cuando empieza a leer el certificado. Entonces investigando un poco y preguntándole al Sr. Google, convertimos el formato con:
openssl x509 -in accv-ca2.crt -inform PEM -out accv-ca2.der -outform DER
y
openssl x509 -in rootca.crt -inform PEM -out rootca.der -outform DER
Una vez cambiado el formato, ya podremos importarlos y podemos ver que están instalados:
[mfons@debian cert_new]$ cisco_cert_mgr -R -op list
Cisco Systems VPN Client Version 4.8.01 (0640)
Copyright (C) 1998-2007 Cisco Systems, Inc. All Rights Reserved.
Client Type(s): Linux
Running on: Linux 2.6.26-2-686 #1 SMP Thu Aug 19 03:44:10 UTC 2010 i686
Cert # Common Name
——- ————
0 Root CA Generalitat Valenciana
1 ACCV-CA2
[mfons@debian cert_new]$ cisco_cert_mgr -U -op list
Cisco Systems VPN Client Version 4.8.01 (0640)
Copyright (C) 1998-2007 Cisco Systems, Inc. All Rights Reserved.
Client Type(s): Linux
Running on: Linux 2.6.26-2-686 #1 SMP Thu Aug 19 03:44:10 UTC 2010 i686
Cert # Common Name
——- ————
0 XXX XXX XXX – NIF:483
De ésta forma sólo nos queda copiar el PCF que usamos en Windows y dejarlo en la carpeta de los Profiles. Arrancamos el servicio vpn_init, y arrancamos el cliente con:
vpn_client connect PROFILE
Conecta a los pocos segundos y si queremos podemos lanzarlo con un nohup y un & …
En Mac importamos éstos 3 certificados de la misma manera, él ya los organiza según sean de root o personales. También importamos el PCF sin tocar nada más. Y conectamos sin problemas.
Otra razón más para abandonar Windows.
