症状
当浏览到启用 SSL 解密和 FIPS 模式的 Google 或雅虎站点时, 防火墙会向客户端显示转发不信任证书。
说明
Google 和雅虎都在其证书链中提供1024位密钥的根证书。自2010年以来, 具有1024位密钥的证书不符合 fips 标准, 因此, FIPS 模式下的防火墙将不信任证书。
谷歌的证书链
$ openssl s_client 连接 google.com:443
连接 (00000003)
depth=2 C = US, O = GeoTrust 公司, CN = GeoTrust 全局 CA
验证 error:num=20:unable 以获得本地颁发者证书
验证 return:0
---
证书链
0 s:/C = 我们/ST = 加利福尼亚或 L = 山看法/o = 谷歌公司/cn = *. google com
i:/C = 我们/O = google 公司/cn = 谷歌互联网权威 G2
1 s:/c = 我们/O = 谷歌公司/CN = 谷歌互联网管理局 G2
i:/c = 我们/O = GeoTrust 公司/cn = GeoTrust 全球 CA
2 s:/C = US/O =GeoTrust 公司/CN = GeoTrust 全球 CA
i:/C = 我们/O = Equifax/OU = Equifax 安全证书颁发机构
Equifax 安全证书颁发机构
$ openssl x509 Equifax_Secure_Certificate_Authority. pem-文本-noout
证书:
数据:
版本: 3 (0x2)
序列号: 903804111 (0x35def4cf)
签名算法: sha1WithRSAEncryption
发行者: C = 我们, O = Equifax, OU =Equifax 安全证书颁发机构
有效期
: 8月22日 16:41: 51 1998 GMT
不之后: 8月22日 16:41:51 2018 GMT
主题: C = 美国, O = Equifax, OU = Equifax 安全证书颁发机构
主题公钥信息:
公钥算法: rsaEncryption
公钥: (1024 位)
雅虎证书链
$ openssl s_client 连接 yahoo.com:443
连接 (00000003)
depth=2 C = US, O = "verisign, 公司", ou = VeriSign 信任网络, ou = "(C) 2006 verisign, 公司-仅授权使用", CN = VeriSign 类3公共主要证书颁发机构-G5
验证 error:num=20:unable 以获取本地颁发者证书
验证 return:0
---
证书链
0 s:/c = US/ST = 加利福尼亚州/升 = 公司/地区 = 雅虎/OU = 信息技术/CN =www.yahoo.com
i:/C = 我们/O = 赛门铁克公司/OU = 赛门铁克信任网络/CN = 赛门铁克类3安全服务器 CA-G4
1 秒:/c = 我们/O = 赛门铁克公司/OU = 赛门铁克信任网络/CN = 赛门铁克类3安全服务器 CA G4
i:/c = 我们/o = verisign, 公司/ou = verisign 信任网络/ou = (C)2006 verisign 公司-仅供授权使用/CN = VeriSign 类3公共主要证书颁发机构-G5
2 s:/c = 我们/O = verisign, 公司/ou = verisign 信任网络/ou = (C) 2006 verisign 公司-仅供授权使用/CN = verisign 类3公共小学认证机构-G5
:/C = 我们/O = VeriSign, 公司/OU = 类3公共主要证书颁发机构
3类公共主要证书颁发机构
$ openssl x509-3 级-公共-初级-认证-权威. pem-文本-noout
证书:
数据:
版本: 1 (0x0)
序列号:
3 C: 91:31: cb: 1 f: f6: d0:1b: 0 e: 9 a: b8: d0:44: bf:12: 是
签名算法: sha1WithRSAEncryption
发行者: C = 美国, O = VeriSign, 公司, OU = 类3公共主要认证授权
有效期
: 1月29日 00:00: 00 1996 GMT
不之后: 8月2日 23:59:59 2028 GMT
主题: C = 美国, O = VeriSign, 公司, OU = 类3公共主要证书颁发机构
主体公钥信息:
公钥算法: rsaEncryption
公钥: (1024 位)
解决方法
在启用 FIPS 模式时, 无法强制防火墙信任具有1024位密钥的证书。
您可以使用以下步骤免除 Google 和雅虎站点的 SSL 解密:
1. 在对象 >> 自定义对象页上创建自定义 URL 类别, 其中包含以下 url:
*. google.com
*. yahoo.com
2. 在策略 > 解密页上创建新的 decyption 策略。
一个。设置源和目标以匹配现有的解密策略。
b。将 URL 类别设置为在步骤1中创建的自定义类别。
(c)。在 "选项" 选项卡中, 选择 "不解密"。
d。将 "无解密" 策略置于现有解密策略之上并提交。