错误: 反向代理键 XXXX。YYY 与系统日志<>中的证书 isssued 不匹配
46961
Created On 09/25/18 19:48 PM - Last Modified 06/14/23 07:28 AM
Symptom
Resolution
要验证此行为, 请执行以下操作:
- 在客户端或防火墙上对整个事务进行数据包捕获:如何运行数据包捕获
- 查找包含 SSL 握手消息 "证书" 的数据包 (来自服务器到客户端)
- 展开数据包, 找到证书/s 并记下服务器证书的序列号。
- 或者, 您可以右键单击所需的证书, 然后选择 "导出选定的数据包字节", 然后使用名称保存它。
- 将此证书中的序列号和有效性与加载到防火墙中并在解密策略中使用的证书的序列号/有效性匹配。
注意:
如果您在同一台计算机 1.2.3.4 (相同的 IP) 上承载多个服务器, 请确保 SSL 解密策略没有配置为匹配条件的 IP 地址.
例如:
SSL 解密策略1
来源: 任何
目的地: 1.2.3。4
服务: 服务-https
操作: 使用证书 example.com 解密
SSL 解密策略2
来源: 任何
目的地: 1.2.3。4
服务: 服务-https
操作: 使用证书 example1.com 解密
在这种情况下, 如果通信量来自 example1.com, 当 SSL 解密策略被查到时, 它将始终匹配第一个策略, 即使该策略是以 example.com 主机名的绑定证书。证书不是用于策略查找的防火墙的有效匹配条件。
因此, 当 example1.com 将出示其证书, 它将不匹配的证书加载, 这是为 example.com
解决办法
为避免这种情况, 请为每个 url 创建自定义 url 类别, 并在匹配条件中使用它们。
SSL 解密策略1
来源: 任何
目的地: 1.2.3。4
服务: 服务-https
URL 类别: Category_Example (包含 example.com)
操作: 使用证书 example.com 解密
SSL 解密策略2
来源: 任何
目的地: 1.2.3。4
服务: 服务-https
URL 类别: Category_Example1 (包含 example1.com)
操作: 使用证书 example1.com 解密