某些站点显示为不受信任的 SSL 解密

症状

帕洛阿尔托网络防火墙有一个受信任的根证书颁发机构 (CAs) 列表, 防火墙用于在解密时检查 SSL 站点的有效性。当 CAs 更改其根证书或使用新的根证书开始签署服务器证书时, 必须更新该列表。

解决方法

手动安装新的根 ca, 包括来自 GoDaddy 和其他 CA 证书的较新的根 ca:

1. 对于 godaddy, 将下面的 godaddy 根 CA (包括开始和结束行) 复制到纯文本编辑器 (如记事本) 中 (不要使用写字板、Word 或类似的富文本编辑器)。
   -----开始证书-----
   MIIDxTCCAq2gAwIBAgIBADANBgkqhkiG9w0BAQsFADCBgzELMAkGA1UEBhMCVVMx
   EDAOBgNVBAgTB0FyaXpvbmExEzARBgNVBAcTClNjb3R0c2RhbGUxGjAYBgNVBAoT
   EUdvRGFkZHkuY29tLCBJbmMuMTEwLwYDVQQDEyhHbyBEYWRkeSBSb290IENlcnRp
   ZmljYXRlIEF1dGhvcml0eSAtIEcyMB4XDTA5MDkwMTAwMDAwMFoXDTM3MTIzMTIz
   NTk1OVowgYMxCzAJBgNVBAYTAlVTMRAwDgYDVQQIEwdBcml6b25hMRMwEQYDVQQH
   EwpTY290dHNkYWxlMRowGAYDVQQKExFHb0RhZGR5LmNvbSwgSW5jLjExMC8GA1UE
   AxMoR28gRGFkZHkgUm9vdCBDZXJ0aWZpY2F0ZSBBdXRob3JpdHkgLSBHMjCCASIw
   DQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAL9xYgjx+lk09xvJGKP3gElY6SKD
   E6bFIEMBO4Tx5oVJnyfq9oQbTqC023CYxzIBsQU+B07u9PpPL1kwIuerGVZr4oAH
   /PMWdYA5UXvl+TW2dE6pjYIT5LY/qQOD+qK+ihVqf94Lw7YZFAXK6sOoBJQ7Rnwy
   DfMAZiLIjWltNowRGLfTshxgtDj6AozO091GB94KPutdfMh8+7ArU6SSYmlRJQVh
   GkSBjCypQ5Yj36w6gZoOKcUcqeldHraenjAKOc7xiID7S13MMuyFYkMlNAJWJwGR
   tDtwKj9useiciAF9n9T521NtYJ2/LOdYq7hfRvzOxBsDPAnrSTFcaUaz4EcCAwEA
   AaNCMEAwDwYDVR0TAQH/BAUwAwEB/zAOBgNVHQ8BAf8EBAMCAQYwHQYDVR0OBBYE
   FDqahQcQZyi27/a9BUFuIMGU2g/eMA0GCSqGSIb3DQEBCwUAA4IBAQCZ21151fmX
   WWcDYfF+OwYxdS2hII5PZYe096acvNjpL9DbWu7PdIxztDhC2gV7+AJ1uP2lsdeu
   9tfeE8tTEH6KRtGX + rcuKxGrkLAngPnon1rpN5 + r5N9ss4UXnT3ZJE95kTXWXwTr
   gIOrmgIttRD02JDHBHNA7XIloKmf7J6raBKZV8aPEjoJpL1E/QYVN8Gb5DKj7Tjo
   2GTzLH4U/ALqn83/B2gX2yKQOC16jdFU8WnjXzPKej17CuPKf1855eJ1usV2GDPO
   LPAvTK33sefOT6jEm0pUBsV/fdUID+Ic/n4XuKxe9tQWskMJDE32p2u0mYRlynqI
   4uJEvlz36hz1
   -----结束证书-----
   
2. 使用 .txt、. cer 或. crt 扩展名保存文件。
3. 转到设备 > 证书, 然后单击 "导入":
   
4. 从步骤2中选择保存的文件, 然后单击 "确定"。
5. 单击新证书的名称, 选择受信任的根 CA, 然后单击 "确定"。
   
6. 提交更改。

注意:当前没有此问题的代码级别解决方案. 帕洛阿尔托网络正在评估更新受信任根 ca 列表的最佳操作过程。

所有者： gwesson