SSL-Entschlüsselung für einige Site-Shows als nicht VertrauensWürdig
SSL-Entschlüsselung für einige Site-Shows als nicht VertrauensWürdig
42050
Created On 09/25/18 20:40 PM - Last Modified 06/09/23 03:03 AM
Resolution
Symptom
EINE Palo Alto Networks Firewall hat eine Liste vertrauenswürdiger Root-Zertifikats Behörden (CAs), die die Firewall verwendet, um die Gültigkeit einer SSL-Website zu überprüfen, wenn Sie Entschlüsselungs Möglichkeiten haben. Wenn CAs Ihr Root-Zertifikat ändert oder mit dem Signieren von Server-Zertifikaten mit einem neuen Root-Zertifikat beginnt, muss die Liste aktualisiert werden.
Dieses Problem zu umgehen
Installieren Sie manuell eine neue Root-CA, einschließlich der neueren Root-CA von GoDaddy und anderen CA-Zertifikaten:
Für GoDaddy kopieren Sie die folgende GoDaddy-Root-CA (einschließlich der Anfangs-und Endlinien) in einen Klartext-Editor wie Notepad (verwenden Sie keine WordPad, Word oder ähnliche Rich-Text-Editoren). -----Zertifikat----- MIIDxTCCAq2gAwIBAgIBADANBgkqhkiG9w0BAQsFADCBgzELMAkGA1UEBhMCVVMx beginnen EDAOBgNVBAgTB0FyaXpvbmExEzARBgNVBAcTClNjb3R0c2RhbGUxGjAYBgNVBAoT EUdvRGFkZHkuY29tLCBJbmMuMTEwLwYDVQQDEyhHbyBEYWRkeSBSb290IENlcnRp ZmljYXRlIEF1dGhvcml0eSAtIEcyMB4XDTA5MDkwMTAwMDAwMFoXDTM3MTIzMTIz NTk1OVowgYMxCzAJBgNVBAYTAlVTMRAwDgYDVQQIEwdBcml6b25hMRMwEQYDVQQH EwpTY290dHNkYWxlMRowGAYDVQQKExFHb0RhZGR5LmNvbSwgSW5jLjExMC8GA1UE AxMoR28gRGFkZHkgUm9vdCBDZXJ0aWZpY2F0ZSBBdXRob3JpdHkgLSBHMjCCASIw DQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAL9xYgjx + lk09xvJGKP3gElY6SKD E6bFIEMBO4Tx5oVJnyfq9oQbTqC023CYxzIBsQU + B07u9PpPL1kwIuerGVZr4oAH /PMWdYA5UXvl + TW2dE6pjYIT5LY/QQOD + QK + IhVqf94Lw7YZFAXK6sOoBJQ7Rnwy DfMAZiLIjWltNowRGLfTshxgtDj6AozO091GB94KPutdfMh8 + 7Aru6ssymlrjqvh GkSBjCypQ5Yj36w6gZoOKcUcqeldHraenjAKOc7xiID7S13MMuyFYkMlNAJWJwGR tDtwKj9useiciAF9n9T521NtYJ2/LOdYq7hfRvzOxBsDPAnrSTFcaUaz4EcCAwEA AANCMEAWDWYDVR0TAQH/bauwaweb/zAOBgNVHQ8BAf8EBAMCAQYwHQYDVR0OBBYE FDqahQcQZyi27/ a9BUFuIMGU2g/eMA0GCSqGSIb3DQEBCwUAA4IBAQCZ21151fmX Wwcdyff + OwYxdS2hII5PZYe096acvNjpL9DbWu7PdIxztDhC2gV7 + AJ1uP2lsdeu 9Tfee8tteh6krtgx + RcuKxGrkLAngPnon1rpN5 + r5N9ss4UXnT3ZJE95kTXWXwTr gIOrmgIttRD02JDHBHNA7XIloKmf7J6raBKZV8aPEjoJpL1E/QYVN8Gb5DKj7Tjo 2gtzlh4u/ALqn83/B2gX2yKQOC16jdFU8WnjXzPKej17CuPKf1855eJ1usV2GDPO LPAvTK33sefOT6jEm0pUBsV/Fduid + IC/n4XuKxe9tQWskMJDE32p2u0mYRlynqI 4ujevlz36hz1 - ----ABSCHLUSSZEUGNIS-----
Speichern Sie die Datei mit a. txt,. cer oder. CRT Extension.
Gehen Sie zu Device > Zertifikate und klicken Sie auf Import:
Wählen Sie die Datei aus Schritt 2 und klicken Sie auf OK.
Klicken Sie auf den Namen des neuen Zertifikats, wählen Sie Trusted Root CA und klicken Sie auf OK.
Übernehmen Sie die Änderungen.
Hinweis: derzeit gibt es keine Lösung auf Code-Ebene zu diesem Problem. Palo Alto Networks prüft die beste Vorgehensweise für die Aktualisierung der Liste der vertrauenswürdigen root-CAs.