Fehler: Reverse Proxy-Taste XXXX. YYY entspricht nicht dem <> Zertifikat Isssued in System Protokollen
Symptom
Resolution
Um dieses Verhalten zu überprüfen:
- Nehmen Sie eine Paket Aufnahme auf den Client oder die Firewall für die gesamte Transaktion: wie Sie eine Paket Aufnahme ausführen
- Finden Sie das Paket, das die SSL-Handshake-Nachricht "Certificate" enthält (von Server zu Client)
- Erweitern Sie das Paket, finden Sie das Zertifikat/s und notieren Sie sich die Serialnummer des Server Zertifikats.
- Oder Sie klicken mit der rechten Maustaste auf das gewünschte Zertifikat und wählen auf dem Export ausgewählter Paket Bytes aus und speichern es dann mit einem Namen.
- Passen Sie die Seriennummer und Gültigkeit in diesem Zertifikat mit der Seriennummer/Gültigkeit des Zertifikats an, das in die Firewall geladen und in der Entschlüsselungs Richtlinie verwendet wird.
HINWEIS:
Wenn Sie mehrere Server auf dem gleichen Rechner 1.2.3.4 (gleiche IP) hosten, dann stellen Sie sicher, dass die SSL-Entschlüsselungs Richtlinien nicht mit IP-Adresse als Match Bedingung konfiguriert sind.
Zum Beispiel:
SSL Entschlüsselungs Politik 1
Quelle: jede
Reiseziel: 1.2.3.4
Service: Service-HTTPS
Aktion: Entschlüsselung mit Zertifikat example.com
SSL Entschlüsselungs Politik 2
Quelle: jede
Reiseziel: 1.2.3.4
Service: Service-HTTPS
Aktion: Entschlüsselung mit Zertifikat example1.com
In diesem Fall, wenn ein Traffic für example1.com kommt, wenn die SSL-Entschlüsselungs Politik nachgeschaut wird, wird es immer mit der ersten Richtlinie übereinstimmen, auch wenn die Richtlinie mit Hostnamen als example.com an das Zertifikat gebunden ist. Das Zertifikat ist keine gültige Match Bedingung für Firewall für Policy Lookup.
Wenn die example1.com Ihr Zertifikat vorlegen wird, wird es nicht mit dem geladenen Zertifikat übereinstimmen, das für example.com
Lösung
Um diese Situation zu vermeiden, erstellen Sie für jede URL benutzerdefinierte URL-Kategorien und verwenden Sie diese in den Spielbedingungen.
SSL Entschlüsselungs Politik 1
Quelle: jede
Reiseziel: 1.2.3.4
Service: Service-HTTPS
URL-Kategorie: Category_Example (enthält example.com)
Aktion: Entschlüsselung mit Zertifikat example.com
SSL Entschlüsselungs Politik 2
Quelle: jede
Reiseziel: 1.2.3.4
Service: Service-HTTPS
URL-Kategorie: Category_Example1 (enthält example1.com)
Aktion: Entschlüsselung mit Zertifikat example1.com