Fehler: Reverse Proxy-Taste XXXX. YYY entspricht nicht dem <> Zertifikat Isssued in System Protokollen

Fehler: Reverse Proxy-Taste XXXX. YYY entspricht nicht dem <> Zertifikat Isssued in System Protokollen

43634
Created On 09/25/18 19:48 PM - Last Modified 06/14/23 07:28 AM


Symptom


Symptome

Mit der eingehenden SSL-Entschlüsselung ist für Server example.com aktiviert, die Systemprotokolle zeigen:

 

Reverse-Proxy-Taste example.com entspricht nicht dem ausgestellten Zertifikat example1.com

Diagnose

Der obige Fehler zeigt an, dass das Server-Zertifikat, einschließlich seines privaten Schlüssels, der in das Gerät importiert wurde, um eine eingehende SSL-Entschlüsselung zu ermöglichen, nicht mit dem vom Server vorgestellten Zertifikat übereinstimmt. In diesem Fall überreichte der Server ein Zertifikat mit dem Namen example1.com.

Resolution


Um dieses Verhalten zu überprüfen:

  1. Nehmen Sie eine Paket Aufnahme auf den Client oder die Firewall für die gesamte Transaktion: wie Sie eine Paket Aufnahme ausführen
  2. Finden Sie das Paket, das die SSL-Handshake-Nachricht "Certificate" enthält (von Server zu Client)
  3. Erweitern Sie das Paket, finden Sie das Zertifikat/s und notieren Sie sich die Serialnummer des Server Zertifikats.
  4. Oder Sie klicken mit der rechten Maustaste auf das gewünschte Zertifikat und wählen auf dem Export ausgewählter Paket Bytes aus und speichern es dann mit einem Namen.
  5. Passen Sie die Seriennummer und Gültigkeit in diesem Zertifikat mit der Seriennummer/Gültigkeit des Zertifikats an, das in die Firewall geladen und in der Entschlüsselungs Richtlinie verwendet wird.

HINWEIS:

Wenn Sie mehrere Server auf dem gleichen Rechner 1.2.3.4 (gleiche IP) hosten, dann stellen Sie sicher, dass die SSL-Entschlüsselungs Richtlinien nicht mit IP-Adresse als Match Bedingung konfiguriert sind.

 

Zum Beispiel:

SSL Entschlüsselungs Politik 1

Quelle: jede

Reiseziel: 1.2.3.4

Service: Service-HTTPS

Aktion: Entschlüsselung mit Zertifikat example.com

 

SSL Entschlüsselungs Politik 2

Quelle: jede

Reiseziel: 1.2.3.4

Service: Service-HTTPS

Aktion: Entschlüsselung mit Zertifikat example1.com

 

In diesem Fall, wenn ein Traffic für example1.com kommt, wenn die SSL-Entschlüsselungs Politik nachgeschaut wird, wird es immer mit der ersten Richtlinie übereinstimmen, auch wenn die Richtlinie mit Hostnamen als example.com an das Zertifikat gebunden ist. Das Zertifikat ist keine gültige Match Bedingung für Firewall für Policy Lookup.

 

Wenn die example1.com Ihr Zertifikat vorlegen wird, wird es nicht mit dem geladenen Zertifikat übereinstimmen, das für example.com

 

Lösung

Um diese Situation zu vermeiden, erstellen Sie für jede URL benutzerdefinierte URL-Kategorien und verwenden Sie diese in den Spielbedingungen.

 

SSL Entschlüsselungs Politik 1

Quelle: jede

Reiseziel: 1.2.3.4

Service: Service-HTTPS

URL-Kategorie: Category_Example (enthält example.com)

Aktion: Entschlüsselung mit Zertifikat example.com

 

SSL Entschlüsselungs Politik 2

Quelle: jede

Reiseziel: 1.2.3.4

Service: Service-HTTPS

URL-Kategorie: Category_Example1 (enthält example1.com)

Aktion: Entschlüsselung mit Zertifikat example1.com
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CleFCAS&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language