Anmeldung enderatokann nicht bei der Verwaltungsschnittstelle mit selbstsignierten ECDSA Zertifikaten in SSL / TLS Profil
19085
Created On 03/27/19 18:06 PM - Last Modified 03/03/23 02:04 AM
Symptom
- Wenn Sie den Empfehlungen in dem Artikel folgen, um die KB Sweet32-Schwachstelle zu beheben
- Erstellen Sie ein selbstsigniertes ECDSA Zertifikat, das dem /Profil für die Verwaltungsschnittstelle zugewiesen werden SSL TLS soll.
- Aktivieren Sie das Kontrollkästchen Zertifizierungsstelle, um ein selbstsigniertes Zertifikat zu generieren.
- Wenn Sie nun mit dem Chrome-Browser zum WebUI gehen, wird der folgende Fehler angezeigt:
This site can’t provide a secure connection
10.73.101.13 uses an unsupported protocol.
ERR_SSL_VERSION_OR_CIPHER_MISMATCHEnvironment
- PAN-OS 7.1 und höher.
- Jede Palo Alto Firewall .
- Beliebig Panorama.
Cause
- ECDSA CA Zertifikate können nicht als Serverzertifikate oder als Clientzertifikate verwendet werden.
- A Untergeordnetes Zertifikat, das von der signiert ECDSA CA wurde, um die x509v3 Extended Key Usage-Attribute zu enthalten: TLS "Webserverauthentifizierung" und TLS "Webclientauthentifizierung"
Resolution
- Wenn das UI Web-Fenster geschlossen ist, melden Sie sich mit CLI Befehlen an, und setzen Sie die Konfiguration auf alle zuvor funktionierenden zurück. Ein Beispiel wird unten gezeigt. Wenn der Zugriff nicht geschlossen ist, fahren Sie mit Schritt2 fort.
admin@FW> configure
admin@FW# load config version <version #> => using ? displays the config versions
admin@FW# commit
admin@FW#>exit - Mit UI Web-Login, Generieren Sie ein selbstsigniertes ECDSA Zertifikat mit dem Zertifikatsautorität Kontrollkästchen aktiviert mit GUI : Device > Zertifikate > Generieren.
- Generieren eines ECDSA Blattzertifikats, das von dem oben erstellten Zertifikat signiert wurde, mit GUI : Device > Certificates > Generate
- Fügen Sie das ECDSA Blattzertifikat zu einem SSL TLS /Profile hinzu, das Min Version auf TLSv1.2 festgelegt haben soll. Dies kann GUI mit: Device > Certificate Management > / Certificate SSL TLS Profile erfolgen
- Fügen Sie das SSL / TLS Dienstprofil in GUI : Device > Setup > Management Registerkarte > Allgemeine Einstellungen.
- Führen Sie einen Commit für die Konfiguration aus.
- Der Login-Zugriff sollte nach dem Commiteinwandfrei funktionieren.