エラー: リバースプロキシキー XXXX。システムログに証明書の<> isssued が一致しません
Symptom
Resolution
この動作を確認するには:
- トランザクション全体に対してクライアントまたはファイアウォールのパケットキャプチャを実行する: パケットキャプチャ を行う方法
- SSL ハンドシェイクメッセージ "証明書" (サーバーからクライアントへの) を含むパケットを検索します。
- パケットを展開し、証明書/s を探し、サーバー証明書の serialNumber を書き留めます。
- または、必要な証明書を右クリックし、[選択したパケットのエクスポート] を選択して、名前を付けて保存します。
- この証明書のシリアル番号と有効性を、ファイアウォールに読み込まれた証明書のシリアル番号/妥当性と一致させ、復号化ポリシーで使用します。
注:
同じマシン 1.2.3.4 (同じ ip) 上で複数のサーバーをホストしている場合は、SSL 復号化ポリシーが ip アドレスと一致条件として構成されていないことを確認してください。
例えば:
SSL 復号化ポリシー1
ソース: 任意
目的地: 1.2.3.4
サービス: サービス-https
対処: 証明書 example.com を使用して復号化
SSL 復号化ポリシー2
ソース: 任意
目的地: 1.2.3.4
サービス: サービス-https
対処: 証明書 example1.com を使用して復号化
この場合、トラフィックが example1.com に対して行われる場合、SSL 復号化ポリシーが検索されると、そのポリシーは example.com としてホスト名を持つ証明書に binded されていても、常に最初のポリシーと一致します。証明書は、ポリシールックアップのファイアウォールの有効な一致条件ではありません。
それによって example1.com が証明書を提示するときそれは example.com のためであるロードされた証明書と一致しない
解決方法
この状況を回避するには、各 url のカスタム url カテゴリを作成し、一致条件で使用します。
SSL 復号化ポリシー1
ソース: 任意
目的地: 1.2.3.4
サービス: サービス-https
URL カテゴリ: Category_Example (example.com を含む)
対処: 証明書 example.com を使用して復号化
SSL 復号化ポリシー2
ソース: 任意
目的地: 1.2.3.4
サービス: サービス-https
URL カテゴリ: Category_Example1 (example1.com を含む)
対処: 証明書 example1.com を使用して復号化