La autoridad de certificados de Windows entrega certificados que no pueden ser leídos por pan-os

Incidencia

Cuando se utiliza la autoridad de certificados de Windows 2008R2 o posterior se puede encontrar lo siguiente:

• La autenticación del certificado de cliente SSL falla en portal cautivo o global Protect
• LDAP sobre conexión SSL están fallando sin una razón
• Los certificados de servidor firmados por Windows CA para la administración de uso o cautivo no se comprometen con el mensaje de error diciendo que existe un uso de algoritmos no compatibles.
• El certificado de desencriptación CA firmado por Windows CA no se compromete con el mensaje de error diciendo que hay un uso de algoritmos no compatibles.

En el momento de comprometerse con un cortafuegos, normalmente verá el siguiente mensaje de error que no es exclusivo de este problema:

Error: no se ha podido cargar el certificado: Parse el algoritmo no soportado del certificado TBS.

Causa

De forma predeterminada, Windows CA 2008R2 y posteriormente usará el algoritmo RSASSA-PSS para firmar sus certificados. Este algoritmo cuenta con un escaso soporte de muchos proveedores de pilas SSL y con versiones anteriores de Windows (pre Server2008 y vista), y actualmente no es compatible con pan-os.

Resolución

Aplique una de las siguientes soluciones:

• [solución preferida] Utilice otra autoridad de certificados que no haga uso del algoritmo RSASSA-PSS
• Edite el registro de Windows CA Server HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration\IssuingCA\CSP\AlternateSignatureAlgorithm y defina su valor en 0. A continuación, elimine/vuelva a emitir el certificado de fallo con esta CA.
  ADVERTENCIA: esta operación no está oficialmente soportada por Microsoft y debe ser operada por un administrador de Windows competente.

Propietario: cpainchaud