Erreur: clé de proxy inversée xxxx. YYY ne correspond pas au certificat <> ISIN dans les journaux système
Symptom
Resolution
Pour vérifier ce comportement:
- Prendre une capture de paquet sur le client ou le pare-feu pour l'intégralité de la transaction: comment faire pour exécuter une capture de paquets
- Trouver le paquet qui contient le message de Handshake SSL "certificat" (venant du serveur au client)
- Développez le paquet, localisez le certificat/s et prenez note du SerialNumber du certificat de serveur.
- Ou vous pouvez faire un clic droit sur le certificat que vous voulez et sélectionnez sur Exporter les octets de paquets sélectionnés, puis enregistrez-le avec un nom.
- Correspond au numéro de série et à la validité de ce certificat avec le numéro de série/validité du certificat chargé dans le pare-feu et utilisé dans la stratégie de décryptage.
NOTE :
Si vous hébergez plusieurs serveurs sur la même machine 1.2.3.4 (même IP), assurez-vous que les stratégies de décryptage SSL ne sont pas configurées avec l'adresse IP comme condition de correspondance.
Par exemple :
Politique de décryptage SSL 1
Source: toute
Destination: 1.2.3.4
Service: service-https
Action: décrypter avec certificat example.com
Politique de décryptage SSL 2
Source: toute
Destination: 1.2.3.4
Service: service-https
Action: décrypter avec certificat example1.com
Dans ce cas, si un trafic vient pour example1.com, lorsque la stratégie de décryptage SSL sera recherchée, elle correspondra toujours à la première stratégie, même si la stratégie est liée au certificat avec hostname comme example.com. Le certificat n'est pas une condition de correspondance valide pour le pare-feu pour la recherche de stratégie.
Ainsi, lorsque le example1.com présentera son certificat, il ne correspondra pas avec le certificat chargé qui est pour example.com
Résolution
Pour éviter cette situation, créez des catégories d'url personnalisées pour chaque URL et utilisez-les dans les conditions de correspondance.
Politique de décryptage SSL 1
Source: toute
Destination: 1.2.3.4
Service: service-https
Catégorie d'URL: Category_Example (contient example.com)
Action: décrypter avec certificat example.com
Politique de décryptage SSL 2
Source: toute
Destination: 1.2.3.4
Service: service-https
Catégorie d'URL: Category_Example1 (contient example1.com)
Action: décrypter avec certificat example1.com