エラー メッセージ: ピア証明書を特定の証明書で認証できません CA

エラー メッセージ: ピア証明書を特定の証明書で認証できません CA

47107
Created On 05/16/19 03:25 AM - Last Modified 03/26/21 17:40 PM


Symptom


  • 証明書プロファイルを作成し、 の機能の 1 つで使用すると firewall 、システム ログにエラーが発生します。
Server response: Peer certificate cannot be authenticated with given CA certificates
  • パケット キャプチャは CA 、サーバー証明書パケットの交換後に "不明" と表示されます。
ユーザー追加イメージ

Environment


  • PAN-OS 9.0
  • パロアルトファイアウォール。
  • 構成された証明書

Cause


証明書チェーンの証明書が正しくないと、このエラーが発生します。 ルート証明書または中間証明書が正しく一致していません。

Resolution


  1. 使用されている証明書を確認します。
"サーバー" によって送信される証明書をキャプチャし、保存されている証明書と比較 Firewall します。 サーバー証明書は、パケット キャプチャを実行して、サーバー キー交換パケットに移動することによって見つけることができます。
(セキュアソケット層> TLS レコード 層 > ハンドシェイク プロトコル > 証明書)

ユーザー追加イメージ
 
  1. 証明書が正しくないか、または見つからない場合は、不足している証明書をダウンロードします。
  • 必要に応じて、証明書は「サーバー」の Wireshark パケット キャプチャからダウンロードできます。コンテキスト メニューを使用して (右クリック)、証明書の生データをエクスポートパケットバイトをファイルに保存します。
  • OpenSSL を使用して、openssl x509 を実行して証明書を表示するために、der -in cert.der -text を実行します。
  • OpenSSL を使用して 、openssl x509 を実行して、証明書をフォーマットに変換するために、der -in cert.der -outform pem -out cert.crt を実行 PEM します。
  1. その後、 PEM ファイルを firewall にアップロードします。 の証明書プロファイルで新しい証明書を使用 firewall します。
  2. 変更をコミット Firewall します。 今、問題を解決する必要があります。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PLz3CAG&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language