SSL-Entschlüsselung für einige Site-Shows als nicht VertrauensWürdig
42050
Created On 09/25/18 20:40 PM - Last Modified 06/09/23 03:03 AM
Resolution
Symptom
EINE Palo Alto Networks Firewall hat eine Liste vertrauenswürdiger Root-Zertifikats Behörden (CAs), die die Firewall verwendet, um die Gültigkeit einer SSL-Website zu überprüfen, wenn Sie Entschlüsselungs Möglichkeiten haben. Wenn CAs Ihr Root-Zertifikat ändert oder mit dem Signieren von Server-Zertifikaten mit einem neuen Root-Zertifikat beginnt, muss die Liste aktualisiert werden.
Dieses Problem zu umgehen
Installieren Sie manuell eine neue Root-CA, einschließlich der neueren Root-CA von GoDaddy und anderen CA-Zertifikaten:
- Für GoDaddy kopieren Sie die folgende GoDaddy-Root-CA (einschließlich der Anfangs-und Endlinien) in einen Klartext-Editor wie Notepad (verwenden Sie keine WordPad, Word oder ähnliche Rich-Text-Editoren).
-----Zertifikat-----
MIIDxTCCAq2gAwIBAgIBADANBgkqhkiG9w0BAQsFADCBgzELMAkGA1UEBhMCVVMx beginnen
EDAOBgNVBAgTB0FyaXpvbmExEzARBgNVBAcTClNjb3R0c2RhbGUxGjAYBgNVBAoT
EUdvRGFkZHkuY29tLCBJbmMuMTEwLwYDVQQDEyhHbyBEYWRkeSBSb290IENlcnRp
ZmljYXRlIEF1dGhvcml0eSAtIEcyMB4XDTA5MDkwMTAwMDAwMFoXDTM3MTIzMTIz
NTk1OVowgYMxCzAJBgNVBAYTAlVTMRAwDgYDVQQIEwdBcml6b25hMRMwEQYDVQQH
EwpTY290dHNkYWxlMRowGAYDVQQKExFHb0RhZGR5LmNvbSwgSW5jLjExMC8GA1UE
AxMoR28gRGFkZHkgUm9vdCBDZXJ0aWZpY2F0ZSBBdXRob3JpdHkgLSBHMjCCASIw
DQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAL9xYgjx + lk09xvJGKP3gElY6SKD
E6bFIEMBO4Tx5oVJnyfq9oQbTqC023CYxzIBsQU + B07u9PpPL1kwIuerGVZr4oAH
/PMWdYA5UXvl + TW2dE6pjYIT5LY/QQOD + QK + IhVqf94Lw7YZFAXK6sOoBJQ7Rnwy
DfMAZiLIjWltNowRGLfTshxgtDj6AozO091GB94KPutdfMh8 + 7Aru6ssymlrjqvh
GkSBjCypQ5Yj36w6gZoOKcUcqeldHraenjAKOc7xiID7S13MMuyFYkMlNAJWJwGR
tDtwKj9useiciAF9n9T521NtYJ2/LOdYq7hfRvzOxBsDPAnrSTFcaUaz4EcCAwEA
AANCMEAWDWYDVR0TAQH/bauwaweb/zAOBgNVHQ8BAf8EBAMCAQYwHQYDVR0OBBYE
FDqahQcQZyi27/ a9BUFuIMGU2g/eMA0GCSqGSIb3DQEBCwUAA4IBAQCZ21151fmX
Wwcdyff + OwYxdS2hII5PZYe096acvNjpL9DbWu7PdIxztDhC2gV7 + AJ1uP2lsdeu
9Tfee8tteh6krtgx + RcuKxGrkLAngPnon1rpN5 + r5N9ss4UXnT3ZJE95kTXWXwTr
gIOrmgIttRD02JDHBHNA7XIloKmf7J6raBKZV8aPEjoJpL1E/QYVN8Gb5DKj7Tjo
2gtzlh4u/ALqn83/B2gX2yKQOC16jdFU8WnjXzPKej17CuPKf1855eJ1usV2GDPO
LPAvTK33sefOT6jEm0pUBsV/Fduid + IC/n4XuKxe9tQWskMJDE32p2u0mYRlynqI
4ujevlz36hz1
- ----ABSCHLUSSZEUGNIS----- - Speichern Sie die Datei mit a. txt,. cer oder. CRT Extension.
- Gehen Sie zu Device > Zertifikate und klicken Sie auf Import:
- Wählen Sie die Datei aus Schritt 2 und klicken Sie auf OK.
- Klicken Sie auf den Namen des neuen Zertifikats, wählen Sie Trusted Root CA und klicken Sie auf OK.
- Übernehmen Sie die Änderungen.
Hinweis: derzeit gibt es keine Lösung auf Code-Ebene zu diesem Problem. Palo Alto Networks prüft die beste Vorgehensweise für die Aktualisierung der Liste der vertrauenswürdigen root-CAs.
Besitzer: Gwesson