Windows 証明機関は、PAN-OS で読み取ることができない証明書を提供します。

問題

Windows 証明機関2008R2 以降を使用すると、次のようになります。

• キャプティブポータルまたはグローバル保護で SSL クライアント証明書の認証が失敗する
• LDAP over SSL 接続が原因で失敗しています
• 使用管理またはキャプティブのために Windows CA によって署名されたサーバー証明書は、サポートされていないアルゴリズムの使用があるというエラーメッセージでコミットに失敗しています。
• Windows ca が署名した解読証明書 ca は、サポートされていないアルゴリズムの使用があるというエラーメッセージでコミットに失敗します。

ファイアウォールへのコミット時には、通常、この問題に対する排他的ではない次のエラーメッセージが表示されます。

エラー: 証明書の読み込みに失敗しました: 解析 tbs 証明書がサポートされていないアルゴリズム。

原因

既定では、Windows CA 2008R2 以降では RSASSA-PSS アルゴリズムを使用して証明書に署名します。このアルゴリズムは、多くの SSL スタックベンダや以前のバージョンの Windows (pre Server2008 および WindowsVista) からのサポートが不十分であり、現在は PAN-OS ではサポートされていません。

解決方法

次のいずれかの回避策を適用します。

• [推奨ソリューション]RSASSA-PSS アルゴリズムを使用しない別の証明機関を使用する
• Windows CA サーバーのレジストリHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration\IssuingCA\CSP\AlternateSignatureAlgorithm を編集し、その値を0に設定します。次に、この CA で失敗した証明書を削除または再発行します。
  警告:この操作はマイクロソフトによって公式にサポートされておらず、有能な Windows 管理者によって運営されている必要があります。

所有者: cpainchaud