Windows Certificate Authority liefert Zertifikate, die nicht von Pan-OS gelesen werden können

Problem

Bei der Verwendung der Windows-Zertifikatsbehörde 2008R2 oder später kann Folgendes auftreten:

• SSL-Client-Zertifikat-Authentifizierung scheitert auf Captive Portal oder Global Protect
• LDAP über SSL-Verbindung scheitert ohne Grund
• Server-Zertifikate, die von Windows ca für das Use-Management oder Captive signiert wurden, verpflichten sich nicht mit Fehlermeldung, dass es eine Verwendung von nicht unterstützten Algorithmen gibt.
• Das von Windows ca signierte Entschlüsselungs Zertifikat ca verpflichtet sich nicht mit der Fehlermeldung, dass es eine Verwendung von nicht unterstützten Algorithmen gibt.

Zum Zeitpunkt der Begehung einer Firewall sehen Sie in der Regel die folgende Fehlermeldung, die nicht exklusiv für dieses Problem ist:

Fehler: Zertifikat nicht geladen: parieren TBS-Zertifikat nicht unterstützte Algorithmus.

Ursache

Standardmäßig wird Windows ca 2008R2 und später rsassa-PSS-Algorithmus verwenden, um seine Zertifikate zu signieren. Dieser Algorithmus hat schlechte Unterstützung von vielen SSL-Stack-Anbietern und mit früherer Version von Windows (Pre Server2008 und windowsvista), und wird derzeit nicht von Pan-OS unterstützt.

Lösung

Eine der folgenden Workarounds anwenden:

• [bevorzugte Lösung] Verwenden Sie eine andere Zertifikatsbehörde, die den rsassa-PSS-Algorithmus nicht nutzt
• Bearbeiten Sie Windows ca Server Registry HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration\IssuingCA\CSP\AlternateSignatureAlgorithm und setzen Sie seinen Wert auf 0. Dann löschen/wieder ausgeben Sie das Ausfall Zertifikat mit dieser ca.
  Achtung: diese Operation wird nicht offiziell von Microsoft unterstützt und sollte von einem kompetenten Windows-Administrator durchgeführt werden.

Besitzer: cpainchaud