某些站点显示为不受信任的 SSL 解密
42042
Created On 09/25/18 20:40 PM - Last Modified 06/09/23 03:03 AM
Resolution
症状
帕洛阿尔托网络防火墙有一个受信任的根证书颁发机构 (CAs) 列表, 防火墙用于在解密时检查 SSL 站点的有效性。当 CAs 更改其根证书或使用新的根证书开始签署服务器证书时, 必须更新该列表。
解决方法
手动安装新的根 ca, 包括来自 GoDaddy 和其他 CA 证书的较新的根 ca:
- 对于 godaddy, 将下面的 godaddy 根 CA (包括开始和结束行) 复制到纯文本编辑器 (如记事本) 中 (不要使用写字板、Word 或类似的富文本编辑器)。
-----开始证书-----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 + rcuKxGrkLAngPnon1rpN5 + r5N9ss4UXnT3ZJE95kTXWXwTr
gIOrmgIttRD02JDHBHNA7XIloKmf7J6raBKZV8aPEjoJpL1E/QYVN8Gb5DKj7Tjo
2GTzLH4U/ALqn83/B2gX2yKQOC16jdFU8WnjXzPKej17CuPKf1855eJ1usV2GDPO
LPAvTK33sefOT6jEm0pUBsV/fdUID+Ic/n4XuKxe9tQWskMJDE32p2u0mYRlynqI
4uJEvlz36hz1
-----结束证书-----
- 使用 .txt、. cer 或. crt 扩展名保存文件。
- 转到设备 > 证书, 然后单击 "导入":
- 从步骤2中选择保存的文件, 然后单击 "确定"。
- 单击新证书的名称, 选择受信任的根 CA, 然后单击 "确定"。
- 提交更改。
注意:当前没有此问题的代码级别解决方案. 帕洛阿尔托网络正在评估更新受信任根 ca 列表的最佳操作过程。
所有者: gwesson