L'autorité de certification Windows fournit des certificats qui ne peuvent pas être lus par Pan-OS

L'autorité de certification Windows fournit des certificats qui ne peuvent pas être lus par Pan-OS

31822
Created On 09/26/18 13:47 PM - Last Modified 06/07/23 17:32 PM


Resolution


Demande client

Lors de l'utilisation de Windows Certificate Authority 2008R2 ou ultérieur, les éléments suivants peuvent être rencontrés:

  • L'authentification du certificat client SSL échoue sur le portail captif ou global Protect
  • LDAP sur la connexion SSL échouent sans raison
  • Les certificats de serveur signés par l'autorité de certification Windows pour la gestion de l'utilisation ou captif ne parviennent pas à valider avec le message d'erreur disant qu'il existe une utilisation d'algorithmes non supportés.
  • Le certificat de décryptage ca signé par l'autorité de certification Windows ne parvient pas à valider avec le message d'erreur disant qu'il y a une utilisation des algorithmes non supportés.

Au moment de l'engagement à un pare-feu, vous verrez généralement le message d'erreur suivant qui n'est pas exclusif à ce problème:

Erreur: le certificat n'a pas pu être chargé: analyse le certificat tbs non pris en charge l'algorithme.

Cause

Par défaut, l'autorité de certification Windows 2008R2 et plus tard utilisera l'algorithme RSASSA-PSS pour signer ses certificats. Cet algorithme a une mauvaise prise en charge de nombreux fournisseurs de piles SSL et avec une version antérieure de Windows (pre Server2008 et windowsvista), et n'est pas actuellement pris en charge par Pan-OS.

Résolution

Appliquez l'une des solutions de contournement suivantes:

  • [solution préférée] Utiliser une autre autorité de certification qui ne fait pas usage de l'algorithme RSASSA-PSS
  • Éditez le registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration\IssuingCA\CSP\AlternateSignatureAlgorithm de l'autorité de certification Windows et définissez sa valeur sur 0. Supprimez/ré-émettez le certificat défaillant avec cette autorité de certification.
    AVERTISSEMENT: cette opération n'est pas officiellement prise en charge par Microsoft et doit être gérée par un administrateur Windows compétent.

propriétaire: cpainchaud
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClotCAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language