Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
错误: 反向代理键 XXXX。YYY 与系统日志<>中的证书 isssued 不匹配 - Knowledge Base - Palo Alto Networks

错误: 反向代理键 XXXX。YYY 与系统日志<>中的证书 isssued 不匹配

46961
Created On 09/25/18 19:48 PM - Last Modified 06/14/23 07:28 AM


Symptom


症状

为服务器 example.com 启用了入站 SSL 解密, 系统日志显示:

 

反向代理键 example.com 与颁发给 example1.com 的证书不匹配

诊断

上述错误表明, 服务器证书 (包括其私钥) 被导入到设备中以启用入站 SSL 解密, 与服务器提供的证书不匹配。在这种情况下, 服务器提供了一个名为 example1.com 的证书。



Resolution


要验证此行为, 请执行以下操作:

  1. 在客户端或防火墙上对整个事务进行数据包捕获:如何运行数据包捕获
  2. 查找包含 SSL 握手消息 "证书" 的数据包 (来自服务器到客户端)
  3. 展开数据包, 找到证书/s 并记下服务器证书的序列号。
  4. 或者, 您可以右键单击所需的证书, 然后选择 "导出选定的数据包字节", 然后使用名称保存它。
  5. 将此证书中的序列号和有效性与加载到防火墙中并在解密策略中使用的证书的序列号/有效性匹配。

注意:

如果您在同一台计算机 1.2.3.4 (相同的 IP) 上承载多个服务器, 请确保 SSL 解密策略没有配置为匹配条件的 IP 地址.

 

例如:

SSL 解密策略1

来源: 任何

目的地: 1.2.3。4

服务: 服务-https

操作: 使用证书 example.com 解密

 

SSL 解密策略2

来源: 任何

目的地: 1.2.3。4

服务: 服务-https

操作: 使用证书 example1.com 解密

 

在这种情况下, 如果通信量来自 example1.com, 当 SSL 解密策略被查到时, 它将始终匹配第一个策略, 即使该策略是以 example.com 主机名的绑定证书。证书不是用于策略查找的防火墙的有效匹配条件。

 

因此, 当 example1.com 将出示其证书, 它将不匹配的证书加载, 这是为 example.com

 

解决办法

为避免这种情况, 请为每个 url 创建自定义 url 类别, 并在匹配条件中使用它们。

 

SSL 解密策略1

来源: 任何

目的地: 1.2.3。4

服务: 服务-https

URL 类别: Category_Example (包含 example.com)

操作: 使用证书 example.com 解密

 

SSL 解密策略2

来源: 任何

目的地: 1.2.3。4

服务: 服务-https

URL 类别: Category_Example1 (包含 example1.com)

操作: 使用证书 example1.com 解密



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CleFCAS&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language