Error: clave de proxy inversa XXXX. YYY no coincide con el certificado <> isssued en los registros del sistema
Symptom
Resolution
Para verificar este comportamiento:
- Tomar una captura de paquete en el cliente o el cortafuegos para toda la transacción: Cómo ejecutar una captura de paquetes
- Encuentre el paquete que contiene el mensaje de enlace SSL "certificado" (que viene del servidor al cliente)
- ExPanda el paquete, localice el/los certificado/s y tome nota de la serialNumber del certificado del servidor.
- O bien, puede hacer clic con el botón derecho en el certificado que desee y seleccionar en exportar bytes de paquetes seleccionados y, a continuación, guardarlos con un nombre.
- Empareje el número de serie y la validez de este certificado con el número de serie/validez del certificado cargado en el cortafuegos y utilizado en la política de descifrado.
NOTA:
Si está hospedando varios servidores en la misma máquina 1.2.3.4 (misma IP), asegúrese de que las directivas de descifrado SSL no están configuradas con la dirección IP como condición de coincidencia.
Por ejemplo:
Política de desencriptación SSL 1
Fuente: any
Destino: 1.2.3.4
Servicio: servicio-https
Acción: descifrar con certificado example.com
Política de desencriptación SSL 2
Fuente: any
Destino: 1.2.3.4
Servicio: servicio-https
Acción: descifrar con certificado example1.com
En este caso, si un tráfico viene para example1.com, cuando se buscará la política de descifrado SSL, siempre coincidirá con la primera Directiva, aunque la Directiva esté enlazada al certificado con hostname como example.com. El certificado no es una condición de coincidencia válida para firewall para la búsqueda de directivas.
De este modo, cuando el example1.com presentará su certificado no coincidirá con el certificado cargado que es para example.com
Resolución
Para evitar esta situación, cree categorías de URL personalizadas para cada dirección URL y utilícelos en las condiciones de coincidencia.
Política de desencriptación SSL 1
Fuente: any
Destino: 1.2.3.4
Servicio: servicio-https
URL Category: Category_Example (contiene example.com)
Acción: descifrar con certificado example.com
Política de desencriptación SSL 2
Fuente: any
Destino: 1.2.3.4
Servicio: servicio-https
URL Category: Category_Example1 (contiene example1.com)
Acción: descifrar con certificado example1.com