错误消息:无法用给定证书验证对等 CA 证书
47109
Created On 05/16/19 03:25 AM - Last Modified 03/26/21 17:41 PM
Symptom
- 在创建证书配置文件并将其用于系统日志上的一个功能 firewall 时,系统日志上的错误:
Server response: Peer certificate cannot be authenticated with given CA certificates
- 交换 CA 服务器证书包后,数据包捕获显示"未知"
Environment
- PAN-OS 9.0
- 帕洛阿尔托防火墙。
- 已配置证书
Cause
证书链中的证书不正确会导致此错误。 根证书或中间证书不匹配不正确。
Resolution
- 检查正在使用的证书:
捕获"服务器"发送的证书,并将其与"上存储的证书 Firewall 进行比较。 可以通过执行数据包捕获和导航到服务器密钥交换数据包来找到服务器证书。
(安全插座层> TLS 记录层>握手协议>证书)
- 如果证书不正确或缺失,请下载丢失的证书:
- 如果需要,可以从"服务器"的 Wireshark 数据包捕获中下载证书。使用上下文菜单(右键单击),并使用导出数据包字节将证书的原始数据保存到文件中
- 使用 OpenSSL,运行 opensl x509 - 通知 der - in 证书. der - 文本 以查看证书
- 与开放SSL,运行 打开x509-通知德-在证书.der-超越pem-出证书.crt 将证书转换为 PEM 格式
- 然后将 PEM 文件上传到 firewall 。 使用证书简介中的新证书 firewall 。
- 将更改提交 到 Firewall 。 现在,这个问题应该得到解决。