Server certificate could not be validated.

Is there no one out there who can help us out?? Please guys, we are kind of depending on this project to work...

Have you installed the Certificates on the Ipad?You might be able to see the exact error by enabling the logging on the vpn client

Yes, I did run the installation via the User Portal on my iPad. I even downloaded and installed the PKCS#12 certificate on the iPad.
Could it be that some names do not match in the certificate and server certificate?
While googling for this error I came across some answers pointing to a problem concerning the CN and DN...?

Might that be a possible solution?

Here the data from the live log when I try to connect to the Astaro.

2011:02:03-13:34:37 name pluto[3754]: packet from 0.0.0.0: received Vendor ID payload [RFC 3947] 
2011:02:03-13:34:37 name pluto[3754]: packet from 0.0.0.0: ignoring Vendor ID payload [4df37928e9fc4fd1b3262170d515c662] 
2011:02:03-13:34:37 name pluto[3754]: packet from 0.0.0.0: ignoring Vendor ID payload [8f8d83826d246b6fc7a8a6a428c11de8] 
2011:02:03-13:34:37 name pluto[3754]: packet from 0.0.0.0: ignoring Vendor ID payload [439b59f8ba676c4c7737ae22eab8f582] 
2011:02:03-13:34:37 name pluto[3754]: packet from 0.0.0.0: ignoring Vendor ID payload [4d1e0e136deafa34c4f3ea9f02ec7285] 
2011:02:03-13:34:37 name pluto[3754]: packet from 0.0.0.0: ignoring Vendor ID payload [80d0bb3def54565ee84645d4c85ce3ee] 
2011:02:03-13:34:37 name pluto[3754]: packet from 0.0.0.0: ignoring Vendor ID payload [9909b64eed937c6573de52ace952fa6b] 
2011:02:03-13:34:37 name pluto[3754]: packet from 0.0.0.0: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03] 
2011:02:03-13:34:37 name pluto[3754]: packet from 0.0.0.0: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02] 
2011:02:03-13:34:37 name pluto[3754]: packet from 0.0.0.0: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] 
2011:02:03-13:34:37 name pluto[3754]: packet from 0.0.0.0: received Vendor ID payload [XAUTH] 
2011:02:03-13:34:37 name pluto[3754]: packet from 0.0.0.0: ignoring Vendor ID payload [Cisco-Unity] 
2011:02:03-13:34:37 name pluto[3754]: packet from 0.0.0.0: received Vendor ID payload [Dead Peer Detection] 
2011:02:03-13:34:37 name pluto[3754]: "D_REF_wZNJFxOIEt"[3] 0.0.0.0 #421: responding to Main Mode from unknown peer 0.0.0.0

2011:02:03-13:34:37 name pluto[3754]: | NAT-T: new mapping 0.0.0.0/500) 
2011:02:03-13:34:38 name pluto[3754]: "D_REF_wZNJFxOIEt"[3] 0.0.0.0 #421: NAT-Traversal: Result using RFC 3947: peer is NATed 

2011:02:03-13:34:38 name pluto[3754]: "D_REF_wZNJFxOIEt"[3] 0.0.0.0 #421: ignoring informational payload, type IPSEC_INITIAL_CONTACT 

2011:02:03-13:34:38 name pluto[3754]: "D_REF_wZNJFxOIEt"[3] 0.0.0.0 #421: Peer ID is ID_DER_ASN1_DN: 'C=nl, L=Ijsselstein, O=name, CN=Roelof, E=email@domain.nl' 

2011:02:03-13:34:38 name pluto[3754]: "D_REF_wZNJFxOIEt"[3] 0.0.0.0 #421: crl not found 
2011:02:03-13:34:38 name pluto[3754]: "D_REF_wZNJFxOIEt"[3] 0.0.0.0 #421: certificate status unknown 
2011:02:03-13:34:38 name pluto[3754]: "D_REF_wZNJFxOIEt"[3] 0.0.0.0 #421: we have a cert and are sending it 
2011:02:03-13:34:38 name pluto[3754]: | NAT-T: new mapping 0.0.0.0/4500) 
2011:02:03-13:34:38 name pluto[3754]: "D_REF_wZNJFxOIEt"[3] 0.0.0.0 #421: sent MR3, ISAKMP SA established 
2011:02:03-13:34:38 name pluto[3754]: "D_REF_wZNJFxOIEt"[3] 0.0.0.0 #421: sending XAUTH request 
2011:02:03-13:34:38 name pluto[3754]: packet from 0.0.0.0: Informational Exchange is for an unknown (expired?) SA 
2011:02:03-13:34:41 name pluto[3754]: ERROR: asynchronous network error report on eth4 for message to 0.0.0.0 port 4500, complainant 0.0.0.0: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)] 

2011:02:03-13:34:48 name pluto[3754]: ERROR: asynchronous network error report on eth4 for message to 0.0.0.0 port 4500, complainant 0.0.0.0: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]
 
2011:02:03-13:35:08 name pluto[3754]: ERROR: asynchronous network error report on eth4 for message to 0.0.0.0 port 4500, complainant 0.0.0.0: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)] 

2011:02:03-13:35:21 name pluto[3754]: "D_REF_wZNJFxOIEt"[3] 0.0.0.0 #420: max number of retransmissions (2) reached STATE_XAUTH_R1 

2011:02:03-13:35:48 name pluto[3754]: "D_REF_wZNJFxOIEt"[3] 0.0.0.0 #421: max number of retransmissions (2) reached STATE_XAUTH_R1 

2011:02:03-13:35:48 name pluto[3754]: "D_REF_wZNJFxOIEt"[3] 0.0.0.0: deleting connection "D_REF_wZNJFxOIEt" instance with peer 0.0.0.0 {isakmp=#0/ipsec=#0}

Thnx for the reply Wingman.
We've got it all up and running now, turned out to be a problem with the hostname of our Astaro device... :-(
Such a simple solution...

thanks for the update.

Thnx for the reply Wingman.
We've got it all up and running now, turned out to be a problem with the hostname of our Astaro device... :-(
Such a simple solution...

Hi,

having the same issues. Can you tell me how you solved it? What was the problem with the host name?

Thanks

Probably a mismatch between the hostname and the certificate or they didn't use an FQDN as the hostname, which is required.

Hi,

having the same issues. Can you tell me how you solved it? What was the problem with the host name?

Thanks

Hi Achim,

What you have to make sure is that the hostname of your Astaro device and the override common name in your Cisco VPN Client settings are exactly the same.

So please; check under Management --> System Settings --> Hostname, [Hostname:] name.domain.com

and

Remote Access --> Cisco VPN Client -->iPhone, [Override hostname:] name.domain.com

These two settings have to be identical for the certificate to work.

Also, if they differ from each other, you have to replace one of the names (make sure this name is externally resolvable). (be aware that when you change you Hostname, you also have to regenerate the signing certificate under Remote Access menu --> Certificate Management. (second point to take in consideration before regenerating the signing certificate is that when you have existing (SSL) certificates, you will have to replace the old ones with the new ones after regenerating the signing certificate.)

Greetz,

Roelof

Please let me know (here or PM) if you have any further questions.

Shameless bump. Out of all the posts everywhere, I've been pulling my hair out trying to get the Cisco VPN to work on IOS devices and getting the "Certificate could not be validated"

This was my problem. At one point the host name got changed but the signing certificate didn't get regenerated. and 

 (be aware that when you change you Hostname, you also have to regenerate the signing certificate under Remote Access menu --> Certificate Management. (second point to take in consideration before regenerating the signing certificate is that when you have existing (SSL) certificates, you will have to replace the old ones with the new ones after regenerating the signing certificate.)

Thanks RoelofW!

Thanks for bringing this back up as I'm sure situations like this plague lots of people with mysterious problems.  The trick mentioned in The Zeroeth Rule in Rulz addresses this issue comprehensively.

Cheers - Bob