Error: clave de proxy inversa XXXX. YYY no coincide con el certificado <> isssued en los registros del sistema

Error: clave de proxy inversa XXXX. YYY no coincide con el certificado <> isssued en los registros del sistema

43638
Created On 09/25/18 19:48 PM - Last Modified 06/14/23 07:28 AM


Symptom


Síntomas de

Con el descifrado SSL entrante está habilitado para el servidor example.com, los registros del sistema muestran:

 

clave de proxy inversa example.com no coincide con el certificado emitido a example1.com

Diagnóstico

El error anterior indica que el certificado del servidor, incluida su clave privada, que se importó en el dispositivo para habilitar la descodificación SSL entrante, no coincide con el certificado presentado por el servidor. En este caso, el servidor presentó un certificado con el nombre example1.com.

Resolution


Para verificar este comportamiento:

  1. Tomar una captura de paquete en el cliente o el cortafuegos para toda la transacción: Cómo ejecutar una captura de paquetes
  2. Encuentre el paquete que contiene el mensaje de enlace SSL "certificado" (que viene del servidor al cliente)
  3. ExPanda el paquete, localice el/los certificado/s y tome nota de la serialNumber del certificado del servidor.
  4. O bien, puede hacer clic con el botón derecho en el certificado que desee y seleccionar en exportar bytes de paquetes seleccionados y, a continuación, guardarlos con un nombre.
  5. Empareje el número de serie y la validez de este certificado con el número de serie/validez del certificado cargado en el cortafuegos y utilizado en la política de descifrado.

NOTA:

Si está hospedando varios servidores en la misma máquina 1.2.3.4 (misma IP), asegúrese de que las directivas de descifrado SSL no están configuradas con la dirección IP como condición de coincidencia.

 

Por ejemplo:

Política de desencriptación SSL 1

Fuente: any

Destino: 1.2.3.4

Servicio: servicio-https

Acción: descifrar con certificado example.com

 

Política de desencriptación SSL 2

Fuente: any

Destino: 1.2.3.4

Servicio: servicio-https

Acción: descifrar con certificado example1.com

 

En este caso, si un tráfico viene para example1.com, cuando se buscará la política de descifrado SSL, siempre coincidirá con la primera Directiva, aunque la Directiva esté enlazada al certificado con hostname como example.com. El certificado no es una condición de coincidencia válida para firewall para la búsqueda de directivas.

 

De este modo, cuando el example1.com presentará su certificado no coincidirá con el certificado cargado que es para example.com

 

Resolución

Para evitar esta situación, cree categorías de URL personalizadas para cada dirección URL y utilícelos en las condiciones de coincidencia.

 

Política de desencriptación SSL 1

Fuente: any

Destino: 1.2.3.4

Servicio: servicio-https

URL Category: Category_Example (contiene example.com)

Acción: descifrar con certificado example.com

 

Política de desencriptación SSL 2

Fuente: any

Destino: 1.2.3.4

Servicio: servicio-https

URL Category: Category_Example1 (contiene example1.com)

Acción: descifrar con certificado example1.com
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CleFCAS&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language