Erreur: clé de proxy inversée xxxx. YYY ne correspond pas au certificat <> ISIN dans les journaux système

Erreur: clé de proxy inversée xxxx. YYY ne correspond pas au certificat <> ISIN dans les journaux système

43640
Created On 09/25/18 19:48 PM - Last Modified 06/14/23 07:28 AM


Symptom


Symptômes

Avec le décryptage SSL entrant est activé pour le serveur example.com, les journaux système montrent:

 

la clé de proxy inverse example.com ne correspond pas au certificat délivré à example1.com

Diagnostic

L'erreur ci-dessus indique que le certificat de serveur, y compris sa clé privée, qui a été importé dans le périphérique pour permettre le décryptage SSL entrant, ne correspond pas au certificat présenté par le serveur. Dans ce cas, le serveur a présenté un certificat portant le nom example1.com.

Resolution


Pour vérifier ce comportement:

  1. Prendre une capture de paquet sur le client ou le pare-feu pour l'intégralité de la transaction: comment faire pour exécuter une capture de paquets
  2. Trouver le paquet qui contient le message de Handshake SSL "certificat" (venant du serveur au client)
  3. Développez le paquet, localisez le certificat/s et prenez note du SerialNumber du certificat de serveur.
  4. Ou vous pouvez faire un clic droit sur le certificat que vous voulez et sélectionnez sur Exporter les octets de paquets sélectionnés, puis enregistrez-le avec un nom.
  5. Correspond au numéro de série et à la validité de ce certificat avec le numéro de série/validité du certificat chargé dans le pare-feu et utilisé dans la stratégie de décryptage.

NOTE :

Si vous hébergez plusieurs serveurs sur la même machine 1.2.3.4 (même IP), assurez-vous que les stratégies de décryptage SSL ne sont pas configurées avec l'adresse IP comme condition de correspondance.

 

Par exemple :

Politique de décryptage SSL 1

Source: toute

Destination: 1.2.3.4

Service: service-https

Action: décrypter avec certificat example.com

 

Politique de décryptage SSL 2

Source: toute

Destination: 1.2.3.4

Service: service-https

Action: décrypter avec certificat example1.com

 

Dans ce cas, si un trafic vient pour example1.com, lorsque la stratégie de décryptage SSL sera recherchée, elle correspondra toujours à la première stratégie, même si la stratégie est liée au certificat avec hostname comme example.com. Le certificat n'est pas une condition de correspondance valide pour le pare-feu pour la recherche de stratégie.

 

Ainsi, lorsque le example1.com présentera son certificat, il ne correspondra pas avec le certificat chargé qui est pour example.com

 

Résolution

Pour éviter cette situation, créez des catégories d'url personnalisées pour chaque URL et utilisez-les dans les conditions de correspondance.

 

Politique de décryptage SSL 1

Source: toute

Destination: 1.2.3.4

Service: service-https

Catégorie d'URL: Category_Example (contient example.com)

Action: décrypter avec certificat example.com

 

Politique de décryptage SSL 2

Source: toute

Destination: 1.2.3.4

Service: service-https

Catégorie d'URL: Category_Example1 (contient example1.com)

Action: décrypter avec certificat example1.com
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CleFCAS&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language