Игнорирование проверки SSL сертификата VPN

Дата: 2026-01-16

Обзор

По указанию администратора офиса проверка SSL сертификата VPN сервера отключена. Сертификат на сервере не обновляется, поэтому все подключения настроены на игнорирование проверки сертификата.

Почему это необходимо

• Сертификат на VPN сервере не обновляется администратором
• Сертификат может быть истекшим или самоподписанным
• Это корпоративная политика офиса

Настройка

Автоматическая настройка

Все скрипты уже настроены на игнорирование проверки сертификата:

1. Скрипт подключения (connect-office-vpn.sh):

2. Автоматически использует --servercert с отпечатком сертификата

3. Настройка NetworkManager (setup-office-vpn-nm.sh):

4. Автоматически добавляет prevent_invalid_cert=no в конфигурацию

Ручная настройка

OpenConnect через командную строку

Внимание: В новых версиях OpenConnect (9.12+) параметр --no-cert-check удален. Используйте отпечаток сертификата:

sudo openconnect --servercert="0E:4F:17:02:50:F2:08:64:DC:CF:31:E8:43:E5:AF:44:8E:E7:7D:2B" \
  --protocol=anyconnect \
  --user=korobushenkosa@nobilis-tm.ru \
  vpn.nobilis-tm.ru

Или используйте скрипт connect-office-vpn.sh, который автоматически использует правильный отпечаток.

NetworkManager

Если подключение уже создано, обновите его:

nmcli connection modify "Office VPN" \
  vpn.data "gateway=vpn.nobilis-tm.ru,protocol=anyconnect,authtype=password,prevent_invalid_cert=no"

Или создайте новое подключение с отключенной проверкой:

nmcli connection add \
  type vpn \
  vpn-type openconnect \
  con-name "Office VPN" \
  vpn.data "gateway=vpn.nobilis-tm.ru,protocol=anyconnect,authtype=password,prevent_invalid_cert=no" \
  vpn.user-name "korobushenkosa@nobilis-tm.ru"

OpenConnect GUI

В настройках подключения:
1. Найдите опцию "Accept invalid certificate" или "Игнорировать сертификат"
2. Включите эту опцию
3. Сохраните настройки

Проверка текущей настройки

NetworkManager

# Проверка настроек подключения
nmcli connection show "Office VPN" | grep "vpn.data"

# Должно содержать: prevent_invalid_cert = no

Скрипты

Все скрипты автоматически используют --servercert с отпечатком сертификата. Проверьте содержимое скрипта:

grep -n "servercert" scripts/connect-office-vpn.sh

Безопасность

Важные замечания

⚠️ Игнорирование проверки сертификата снижает безопасность, но это необходимо для работы с корпоративным VPN сервером.

Рекомендации

1. ✅ Используйте VPN только для доступа к корпоративным ресурсам
2. ✅ Не передавайте чувствительные данные через VPN без дополнительного шифрования
3. ✅ Убедитесь, что подключаетесь к правильному серверу (vpn.nobilis-tm.ru)
4. ✅ Используйте надежные пароли для VPN подключения

Устранение проблем

Ошибка "Certificate verification failed"

Если видите эту ошибку, убедитесь, что:

1. В скрипте используется --servercert:
   bash grep "servercert" scripts/connect-office-vpn.sh

2. В NetworkManager установлено prevent_invalid_cert=no:
   bash nmcli connection show "Office VPN" | grep "prevent_invalid_cert"

3. При ручном подключении используется отпечаток сертификата:
   bash openconnect --servercert="0E:4F:17:02:50:F2:08:64:DC:CF:31:E8:43:E5:AF:44:8E:E7:7D:2B" ...

Обновление существующего подключения

Если подключение было создано до обновления скриптов:

# Обновите подключение NetworkManager
nmcli connection modify "Office VPN" \
  vpn.data "$(nmcli -g vpn.data connection show "Office VPN"),prevent_invalid_cert=no"

# Или пересоздайте подключение
nmcli connection delete "Office VPN"
./scripts/setup-office-vpn-nm.sh

Дополнительная информация

• Полная документация по VPN
• Информация о сертификате