Server certificate could not be validated.

Hi all,

This concerns a CISCO VPN CLIENT installation, I forgot to mention it in the subject line...

Recently we've started testing with a couple of iPad's to make a VPN connection to our Astaro. I can access our Astaro user portal from anywhere and download the vpn installation, so far so good...
However, when I've installed the Cisco vpn client to the iPad and try to make a connection I get the error: "Server certificate could not be validated."

Is there anyone out there who knows how to deal with this issue? Or did I get something wrong somewhere in my configuration?

Thanks in advance!
  • Is there no one out there who can help us out?? Please guys, we are kind of depending on this project to work...
  • Have you installed the Certificates on the Ipad?You might be able to see the exact error by enabling the logging on the vpn client
  • In reply to wingman:

    Yes, I did run the installation via the User Portal on my iPad. I even downloaded and installed the PKCS#12 certificate on the iPad.
    Could it be that some names do not match in the certificate and server certificate?
    While googling for this error I came across some answers pointing to a problem concerning the CN and DN...?

    Might that be a possible solution?

    Here the data from the live log when I try to connect to the Astaro.

    2011:02:03-13:34:37 name pluto[3754]: packet from received Vendor ID payload [RFC 3947] 
    2011:02:03-13:34:37 name pluto[3754]: packet from ignoring Vendor ID payload [4df37928e9fc4fd1b3262170d515c662] 
    2011:02:03-13:34:37 name pluto[3754]: packet from ignoring Vendor ID payload [8f8d83826d246b6fc7a8a6a428c11de8] 
    2011:02:03-13:34:37 name pluto[3754]: packet from ignoring Vendor ID payload [439b59f8ba676c4c7737ae22eab8f582] 
    2011:02:03-13:34:37 name pluto[3754]: packet from ignoring Vendor ID payload [4d1e0e136deafa34c4f3ea9f02ec7285] 
    2011:02:03-13:34:37 name pluto[3754]: packet from ignoring Vendor ID payload [80d0bb3def54565ee84645d4c85ce3ee] 
    2011:02:03-13:34:37 name pluto[3754]: packet from ignoring Vendor ID payload [9909b64eed937c6573de52ace952fa6b] 
    2011:02:03-13:34:37 name pluto[3754]: packet from ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03] 
    2011:02:03-13:34:37 name pluto[3754]: packet from ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02] 
    2011:02:03-13:34:37 name pluto[3754]: packet from ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] 
    2011:02:03-13:34:37 name pluto[3754]: packet from received Vendor ID payload [XAUTH] 
    2011:02:03-13:34:37 name pluto[3754]: packet from ignoring Vendor ID payload [Cisco-Unity] 
    2011:02:03-13:34:37 name pluto[3754]: packet from received Vendor ID payload [Dead Peer Detection] 
    2011:02:03-13:34:37 name pluto[3754]: "D_REF_wZNJFxOIEt"[3] #421: responding to Main Mode from unknown peer

    2011:02:03-13:34:37 name pluto[3754]: | NAT-T: new mapping 
    2011:02:03-13:34:38 name pluto[3754]: "D_REF_wZNJFxOIEt"[3] #421: NAT-Traversal: Result using RFC 3947: peer is NATed 

    2011:02:03-13:34:38 name pluto[3754]: "D_REF_wZNJFxOIEt"[3] #421: ignoring informational payload, type IPSEC_INITIAL_CONTACT 

    2011:02:03-13:34:38 name pluto[3754]: "D_REF_wZNJFxOIEt"[3] #421: Peer ID is ID_DER_ASN1_DN: 'C=nl, L=Ijsselstein, O=name, CN=Roelof,' 

    2011:02:03-13:34:38 name pluto[3754]: "D_REF_wZNJFxOIEt"[3] #421: crl not found 
    2011:02:03-13:34:38 name pluto[3754]: "D_REF_wZNJFxOIEt"[3] #421: certificate status unknown 
    2011:02:03-13:34:38 name pluto[3754]: "D_REF_wZNJFxOIEt"[3] #421: we have a cert and are sending it 
    2011:02:03-13:34:38 name pluto[3754]: | NAT-T: new mapping 
    2011:02:03-13:34:38 name pluto[3754]: "D_REF_wZNJFxOIEt"[3] #421: sent MR3, ISAKMP SA established 
    2011:02:03-13:34:38 name pluto[3754]: "D_REF_wZNJFxOIEt"[3] #421: sending XAUTH request 
    2011:02:03-13:34:38 name pluto[3754]: packet from Informational Exchange is for an unknown (expired?) SA 
    2011:02:03-13:34:41 name pluto[3754]: ERROR: asynchronous network error report on eth4 for message to port 4500, complainant Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)] 

    2011:02:03-13:34:48 name pluto[3754]: ERROR: asynchronous network error report on eth4 for message to port 4500, complainant Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]
    2011:02:03-13:35:08 name pluto[3754]: ERROR: asynchronous network error report on eth4 for message to port 4500, complainant Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)] 

    2011:02:03-13:35:21 name pluto[3754]: "D_REF_wZNJFxOIEt"[3] #420: max number of retransmissions (2) reached STATE_XAUTH_R1 

    2011:02:03-13:35:48 name pluto[3754]: "D_REF_wZNJFxOIEt"[3] #421: max number of retransmissions (2) reached STATE_XAUTH_R1 

    2011:02:03-13:35:48 name pluto[3754]: "D_REF_wZNJFxOIEt"[3] deleting connection "D_REF_wZNJFxOIEt" instance with peer {isakmp=#0/ipsec=#0}
  • Thnx for the reply Wingman.
    We've got it all up and running now, turned out to be a problem with the hostname of our Astaro device... :-(
    Such a simple solution...
  • thanks for the update.
  • In reply to RoelofW:

    Thnx for the reply Wingman.
    We've got it all up and running now, turned out to be a problem with the hostname of our Astaro device... :-(
    Such a simple solution...


    having the same issues. Can you tell me how you solved it? What was the problem with the host name?

  • Probably a mismatch between the hostname and the certificate or they didn't use an FQDN as the hostname, which is required.
  • In reply to Achim BC. Karpf:


    having the same issues. Can you tell me how you solved it? What was the problem with the host name?


    Hi Achim,

    What you have to make sure is that the hostname of your Astaro device and the override common name in your Cisco VPN Client settings are exactly the same.

    So please; check under Management --> System Settings --> Hostname, [Hostname:]


    Remote Access --> Cisco VPN Client -->iPhone, [Override hostname:]

    These two settings have to be identical for the certificate to work.

    Also, if they differ from each other, you have to replace one of the names (make sure this name is externally resolvable). (be aware that when you change you Hostname, you also have to regenerate the signing certificate under Remote Access menu --> Certificate Management. (second point to take in consideration before regenerating the signing certificate is that when you have existing (SSL) certificates, you will have to replace the old ones with the new ones after regenerating the signing certificate.)



    Please let me know (here or PM) if you have any further questions.
  • In reply to RoelofW:

    Shameless bump. Out of all the posts everywhere, I've been pulling my hair out trying to get the Cisco VPN to work on IOS devices and getting the "Certificate could not be validated"

    This was my problem. At one point the host name got changed but the signing certificate didn't get regenerated. and 

     (be aware that when you change you Hostname, you also have to regenerate the signing certificate under Remote Access menu --> Certificate Management. (second point to take in consideration before regenerating the signing certificate is that when you have existing (SSL) certificates, you will have to replace the old ones with the new ones after regenerating the signing certificate.)

    Thanks RoelofW!

  • In reply to KWyrick1:

    Thanks for bringing this back up as I'm sure situations like this plague lots of people with mysterious problems.  The trick mentioned in The Zeroeth Rule in Rulz addresses this issue comprehensively.

    Cheers - Bob