エラー: リバースプロキシキー XXXX。システムログに証明書の<> isssued が一致しません

エラー: リバースプロキシキー XXXX。システムログに証明書の<> isssued が一致しません

43640
Created On 09/25/18 19:48 PM - Last Modified 06/14/23 07:28 AM


Symptom


兆候

サーバー example.com の受信 SSL 復号化が有効になっている場合、システムログは次のように表示されます。

 

リバースプロキシキー example.com が example1.com に発行された証明書と一致しません

診断

上記のエラーは、受信 SSL 復号化を有効にするためにデバイスにインポートされた秘密キーを含むサーバー証明書が、サーバーによって提示された証明書と一致しないことを示します。この場合、サーバーは example1.com という名前の証明書を提示しました。

Resolution


この動作を確認するには:

  1. トランザクション全体に対してクライアントまたはファイアウォールのパケットキャプチャを実行する: パケットキャプチャ を行う方法
  2. SSL ハンドシェイクメッセージ "証明書" (サーバーからクライアントへの) を含むパケットを検索します。
  3. パケットを展開し、証明書/s を探し、サーバー証明書の serialNumber を書き留めます。
  4. または、必要な証明書を右クリックし、[選択したパケットのエクスポート] を選択して、名前を付けて保存します。
  5. この証明書のシリアル番号と有効性を、ファイアウォールに読み込まれた証明書のシリアル番号/妥当性と一致させ、復号化ポリシーで使用します。

注:

同じマシン 1.2.3.4 (同じ ip) 上で複数のサーバーをホストしている場合は、SSL 復号化ポリシーが ip アドレスと一致条件として構成されていないことを確認してください。

 

例えば:

SSL 復号化ポリシー1

ソース: 任意

目的地: 1.2.3.4

サービス: サービス-https

対処: 証明書 example.com を使用して復号化

 

SSL 復号化ポリシー2

ソース: 任意

目的地: 1.2.3.4

サービス: サービス-https

対処: 証明書 example1.com を使用して復号化

 

この場合、トラフィックが example1.com に対して行われる場合、SSL 復号化ポリシーが検索されると、そのポリシーは example.com としてホスト名を持つ証明書に binded されていても、常に最初のポリシーと一致します。証明書は、ポリシールックアップのファイアウォールの有効な一致条件ではありません。

 

それによって example1.com が証明書を提示するときそれは example.com のためであるロードされた証明書と一致しない

 

解決方法

この状況を回避するには、各 url のカスタム url カテゴリを作成し、一致条件で使用します。

 

SSL 復号化ポリシー1

ソース: 任意

目的地: 1.2.3.4

サービス: サービス-https

URL カテゴリ: Category_Example (example.com を含む)

対処: 証明書 example.com を使用して復号化

 

SSL 復号化ポリシー2

ソース: 任意

目的地: 1.2.3.4

サービス: サービス-https

URL カテゴリ: Category_Example1 (example1.com を含む)

対処: 証明書 example1.com を使用して復号化
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CleFCAS&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language