Fehlermeldung: Peerzertifikat kann nicht mit angegebenen Zertifikaten authentifiziert werden CA
46992
Created On 05/16/19 03:25 AM - Last Modified 03/26/21 17:40 PM
Symptom
- Beim Erstellen des Zertifikatprofils und der Verwendung in einem der Features auf dem firewall fehler in Systemprotokollen:
Server response: Peer certificate cannot be authenticated with given CA certificates
- Paketerfassung zeigt CA "Unbekannt" nach dem Austausch des Serverzertifikatpakets an
Environment
- PAN-OS 9.0
- Palo Alto Firewalls.
- Konfigurierte Zertifikate
Cause
Das falsche Zertifikat in der Zertifikatkette verursacht diesen Fehler. Entweder ist das Stamm- oder das Intermediate-Zertifikat nicht korrekt übereinstimmend.
Resolution
- Überprüfen Sie das verwendete Zertifikat:
Erfassen Sie das vom "Server" gesendete Zertifikat und vergleichen Sie es mit dem gespeicherten Zertifikat auf dem " Firewall . Das Serverzertifikat kann gefunden werden, indem Sie die Paketerfassung und das Navigieren zum Serverschlüsselaustauschpaket durchstellen.
(Secure Sockets Layer > TLS Datensatzebene > Handshake-Protokoll > Zertifikat)
- Wenn das Zertifikat falsch ist oder fehlt, laden Sie das fehlende Zertifikat herunter:
- Bei Bedarf kann das Zertifikat von der Wireshark-Paketerfassung von "Server" heruntergeladen werden.Verwenden Sie das Kontextmenü (Rechtsklick) und speichern Sie die Rohdaten des Zertifikats mit Export Packet Bytes in einer Datei
- Führen Sie mit OpenSSL openssl x509 -inform der -in cert.der -text aus, um das Zertifikat anzuzeigen
- Mit OpenSSL führen Sie openssl x509 -inform der -in cert.der -outform pem -out cert.crt aus, um cert in Format zu konvertieren PEM
- Laden Sie dann die PEM Datei in die firewall hoch. Verwenden Sie das neue Zertifikat im Zertifikatprofil für die firewall .
- Übernehmen Sie die Änderungen an der Firewall . Nun sollte das Problem gelöst werden.