Message d’erreur : Le certificat pair ne peut pas être authentifié avec des CA certificats donnés
47103
Created On 05/16/19 03:25 AM - Last Modified 03/26/21 17:40 PM
Symptom
- Lors de la création du profil du certificat et de son utilisation dans l’une des fonctionnalités sur firewall le , erreur sur les journaux système:
Server response: Peer certificate cannot be authenticated with given CA certificates
- La capture de paquets affiche " Inconnu CA " après l’échange du paquet de certificat serveur
Environment
- PAN-OS 9.0
- Pare-feu de Palo Alto.
- Certificats configurés
Cause
Certificat incorrect dans la chaîne de certificat provoque cette erreur. La racine ou le certificat intermédiaire ne correspond pas correctement.
Resolution
- Vérifiez le certificat utilisé :
Capturez le certificat envoyé par le " Serveur " et comparez-le avec le certificat stocké sur le " Firewall « . Le certificat serveur peut être trouvé en faisant la capture de paquets et la navigation vers le paquet d’échange de clés du serveur.
(Sécurisez la couche de sockets > TLS Enregistrer la couche > protocole poignée de main > certificat)
- Si cert est incorrect ou manquant, téléchargez le certificat manquant :
- Si nécessaire, le certificat peut être téléchargé à partir de la capture de paquets Wireshark de « Server ».Utilisez le menu context (clic droit) et enregistrez les données brutes du certificat avec Les octets de paquets d’exportation dans un fichier
- Avec OpenSSL, exécuter openssl x509 -inform der-in cert.der -texte pour voir le certificat
- Avec OpenSSL, run openssl x509 -inform der -in cert.der -outform pem -out cert.crt pour convertir cert en PEM format
- Ensuite, téléchargez PEM le fichier sur le firewall . Utilisez le nouveau certificat dans le profil du certificat pour le firewall .
- Engagez les modifications à la Firewall . Maintenant, le problème devrait être résolu.