
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:x="urn:schemas-microsoft-com:office:excel" xmlns:p="urn:schemas-microsoft-com:office:powerpoint" xmlns:a="urn:schemas-microsoft-com:office:access" xmlns:dt="uuid:C2F41010-65B3-11d1-A29F-00AA00C14882" xmlns:s="uuid:BDC6E3F0-6DA3-11d1-A2A3-00AA00C14882" xmlns:rs="urn:schemas-microsoft-com:rowset" xmlns:z="#RowsetSchema" xmlns:b="urn:schemas-microsoft-com:office:publisher" xmlns:ss="urn:schemas-microsoft-com:office:spreadsheet" xmlns:c="urn:schemas-microsoft-com:office:component:spreadsheet" xmlns:odc="urn:schemas-microsoft-com:office:odc" xmlns:oa="urn:schemas-microsoft-com:office:activation" xmlns:html="http://www.w3.org/TR/REC-html40" xmlns:q="http://schemas.xmlsoap.org/soap/envelope/" xmlns:rtc="http://microsoft.com/officenet/conferencing" xmlns:D="DAV:" xmlns:Repl="http://schemas.microsoft.com/repl/" xmlns:mt="http://schemas.microsoft.com/sharepoint/soap/meetings/" xmlns:x2="http://schemas.microsoft.com/office/excel/2003/xml" xmlns:ppda="http://www.passport.com/NameSpace.xsd" xmlns:ois="http://schemas.microsoft.com/sharepoint/soap/ois/" xmlns:dir="http://schemas.microsoft.com/sharepoint/soap/directory/" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" xmlns:dsp="http://schemas.microsoft.com/sharepoint/dsp" xmlns:udc="http://schemas.microsoft.com/data/udc" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:sub="http://schemas.microsoft.com/sharepoint/soap/2002/1/alerts/" xmlns:ec="http://www.w3.org/2001/04/xmlenc#" xmlns:sp="http://schemas.microsoft.com/sharepoint/" xmlns:sps="http://schemas.microsoft.com/sharepoint/soap/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:udcs="http://schemas.microsoft.com/data/udc/soap" xmlns:udcxf="http://schemas.microsoft.com/data/udc/xmlfile" xmlns:udcp2p="http://schemas.microsoft.com/data/udc/parttopart" xmlns:wf="http://schemas.microsoft.com/sharepoint/soap/workflow/" xmlns:dsss="http://schemas.microsoft.com/office/2006/digsig-setup" xmlns:dssi="http://schemas.microsoft.com/office/2006/digsig" xmlns:mdssi="http://schemas.openxmlformats.org/package/2006/digital-signature" xmlns:mver="http://schemas.openxmlformats.org/markup-compatibility/2006" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns:mrels="http://schemas.openxmlformats.org/package/2006/relationships" xmlns:spwp="http://microsoft.com/sharepoint/webpartpages" xmlns:ex12t="http://schemas.microsoft.com/exchange/services/2006/types" xmlns:ex12m="http://schemas.microsoft.com/exchange/services/2006/messages" xmlns:pptsl="http://schemas.microsoft.com/sharepoint/soap/SlideLibrary/" xmlns:spsl="http://microsoft.com/webservices/SharePointPortalServer/PublishedLinksService" xmlns:Z="urn:schemas-microsoft-com:" xmlns:st="" xmlns="http://www.w3.org/TR/REC-html40">


<head>

<meta http-equiv=Content-Type content="text/html; charset=us-ascii">

<meta name=Generator content="Microsoft Word 12 (filtered medium)">

<style>

<!--

 /* Font Definitions */

 @font-face

        {font-family:Wingdings;

        panose-1:5 0 0 0 0 0 0 0 0 0;}

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

 /* Style Definitions */

 p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0cm;

        margin-bottom:.0001pt;

        font-size:11.0pt;

        font-family:"Calibri","sans-serif";}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

p.MsoListParagraph, li.MsoListParagraph, div.MsoListParagraph

        {mso-style-priority:34;

        margin-top:0cm;

        margin-right:0cm;

        margin-bottom:0cm;

        margin-left:36.0pt;

        margin-bottom:.0001pt;

        font-size:11.0pt;

        font-family:"Calibri","sans-serif";}

span.EmailStyle17

        {mso-style-type:personal-compose;

        font-family:"Calibri","sans-serif";

        color:windowtext;}

.MsoChpDefault

        {mso-style-type:export-only;}

@page WordSection1

        {size:612.0pt 792.0pt;

        margin:72.0pt 72.0pt 72.0pt 72.0pt;}

div.WordSection1

        {page:WordSection1;}

 /* List Definitions */

 @list l0

        {mso-list-id:588081838;

        mso-list-type:hybrid;

        mso-list-template-ids:230838120 -805524320 134807555 134807557 134807553 134807555 134807557 134807553 134807555 134807557;}

@list l0:level1

        {mso-level-start-at:0;

        mso-level-number-format:bullet;

        mso-level-text:-;

        mso-level-tab-stop:none;

        mso-level-number-position:left;

        text-indent:-18.0pt;

        font-family:"Calibri","sans-serif";

        mso-fareast-font-family:Calibri;

        mso-bidi-font-family:"Times New Roman";}

ol

        {margin-bottom:0cm;}

ul

        {margin-bottom:0cm;}

-->

</style>

<!--[if gte mso 9]><xml>

 <o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

 <o:shapelayout v:ext="edit">

  <o:idmap v:ext="edit" data="1" />

 </o:shapelayout></xml><![endif]-->

</head>


<body lang=EN-GB link=blue vlink=purple>


<div class=WordSection1>


<p class=MsoNormal>Afternoon All,<o:p></o:p></p>


<p class=MsoNormal><o:p> </o:p></p>


<p class=MsoNormal>We have been using our ASAs with a Mutual PSK + XAuth

authentication scheme for a few years, with a spread of clients between the official

Cisco VPN client and the Shrewsoft client (mainly used by 64bit users). 

We have a requirement to implement two-factor authentication on our client VPNs

for our PCIDSS compliance, so we are implementing a client certificate based

authentication scheme rather than the mutual PSK, the XAuth in this case is integrated

with Active Directory via RADIUS.<o:p></o:p></p>


<p class=MsoNormal><o:p> </o:p></p>


<p class=MsoNormal>After some fiddling about I have been able to use client

certificates to provide the initial authentication with the Cisco client, the

OU specified in the certificate is matched to a tunnel group (VPNAdminUsers) configured

on the ASA, which is then passed through to the RADIUS server which

authenticates the user in our AD.<o:p></o:p></p>


<p class=MsoNormal><o:p> </o:p></p>


<p class=MsoNormal>I imported the working PCF from the Cisco client into the

Shrewsoft client, but have been singularly unsuccessful in connecting the VPN

from the Shrewsoft client.  When I imported the PCF it explained I would

have to import the certificates manually, so I:<o:p></o:p></p>


<p class=MsoNormal><o:p> </o:p></p>


<p class=MsoListParagraph style='text-indent:-18.0pt;mso-list:l0 level1 lfo1'><![if !supportLists]><span

style='mso-list:Ignore'>-<span style='font:7.0pt "Times New Roman"'>         

</span></span><![endif]>Exported the CA certificate from Microsoft Certificate

Services as Base64 with the default .CER extension, I renamed this file to a

.PEM file and chose this for the Server Certificate Authority file<o:p></o:p></p>


<p class=MsoNormal><o:p> </o:p></p>


<p class=MsoListParagraph style='text-indent:-18.0pt;mso-list:l0 level1 lfo1'><![if !supportLists]><span

style='mso-list:Ignore'>-<span style='font:7.0pt "Times New Roman"'>         

</span></span><![endif]>Exported my client certificate from the local certificate

store in PKCS12 format with a .pfx extension with the private key included, I

chose this file for both the Client Certificate File and the Client Private Key

File.  The Client seemed happy with this and prompted me for the

certificate key password when I tried to connect.  To eliminate this as

the problem I then took the PKCS12 file and converted it using OpenSSL to a PEM

and KEY file and used those instead of the PFX file – the client seemed

fine with this as well.<o:p></o:p></p>


<p class=MsoNormal><o:p> </o:p></p>


<p class=MsoNormal>I am confident all the transform sets are configured

correctly, they work perfectly if the tunnel is reconfigured back to use Mutual

PSK rather than XAuth.<o:p></o:p></p>


<p class=MsoNormal><o:p> </o:p></p>


<p class=MsoNormal>When I try and connect the VPN, the tunnel fails to

establish when negotiating the initial connection, the firewall logs:<o:p></o:p></p>


<p class=MsoNormal><o:p> </o:p></p>


<p class=MsoNormal>Group = VPNAdminUsers, IP = X, No preshared key configured

for group<o:p></o:p></p>


<p class=MsoNormal>Group = VPNAdminUsers, IP = X, Can’t find a valid

tunnel group, aborting<o:p></o:p></p>


<p class=MsoNormal>Group = VPNAdminUsers, IP = X, Removing peer from peer table

failed, no match!<o:p></o:p></p>


<p class=MsoNormal><o:p> </o:p></p>


<p class=MsoNormal>It is picking up the correct tunnel group from the subject

OU in the client certificate, or at least certainly seems to be, it is the only

place VPNAdminUsers is mentioned anywhere in the Shrewsoft configuration. 

I don’t understand why it is looking for a preshared key though, the

client certificate is meant to be used instead of a PSK for the initial

negotiation.<o:p></o:p></p>


<p class=MsoNormal><o:p> </o:p></p>


<p class=MsoNormal>Is anyone able to shed any light on this for me?  TLDR

is I’m trying to use a Windows CA to provide Mutual RSA authentication,

works perfectly from the Cisco client but the Shrewsoft one doesn’t, I

can’t see anything obviously wrong with my configuration so am at a bit

of a loss.<o:p></o:p></p>


<p class=MsoNormal><o:p> </o:p></p>


<p class=MsoNormal>Any help that you folks can provide would be greatly

appreciated.<o:p></o:p></p>


<p class=MsoNormal><o:p> </o:p></p>


<p class=MsoNormal>Thanks,<o:p></o:p></p>


<p class=MsoNormal><o:p> </o:p></p>


<p class=MsoNormal><o:p> </o:p></p>


</div>


</body>


</html>