Mensaje de error: El certificado del par no se puede autenticar con CA los certificados dados
61971
Created On 05/16/19 03:25 AM - Last Modified 08/22/24 18:55 PM
Symptom
- Al crear el perfil de certificado y usarlo en una de las características del firewall error , en los registros del sistema:
Server response: Peer certificate cannot be authenticated with given CA certificates
- La captura de paquetes muestra CA "Desconocido" después del intercambio del paquete del certificado del servidor
Environment
- PAN-OS 9.0
- Palo Alto Firewalls.
- Certificados configurados
Cause
El certificado incorrecto en la cadena de certificados causa este error. El certificado raíz o intermedio no coincide correctamente.
Resolution
- Compruebe el certificado que se está utilizando:
Capture el certificado que envía el "Servidor" y compárese con el certificado almacenado en el " Firewall ". El certificado del servidor se puede encontrar haciendo la captura de paquetes y navegando al paquete de intercambio de claves del servidor.
(Capa de sockets seguros > TLS Grabar capa > protocolo de apretón de manos > certificado)
- Si el certificado es incorrecto o falta, descargue el certificado que falta:
- Si es necesario, el certificado se puede descargar de la captura de paquetes de Wireshark del "servidor".Utilice el menú contextual (haga clic con el botón derecho) y guarde los datos sin procesar del certificado con Exportar bytes de paquetes en un archivo
- Con OpenSSL, ejecute openssl x509 -inform der -in cert.der -text para ver el certificado
- Con OpenSSL, ejecute openssl x509 -inform der -in cert.der -outform pem -out cert.crt para convertir cert en PEM formato
- A continuación, cargue el PEM archivo en el archivo firewall . Utilice el nuevo certificado en el perfil de certificado para firewall el archivo .
- Confirme los cambios en el Firewall archivo . Ahora el problema debe ser resuelto.