No se puede iniciar sesión en la interfaz de administración mediante ECDSA el certificado autofirmado en / SSL TLS perfil
19073
Created On 03/27/19 18:06 PM - Last Modified 03/03/23 02:04 AM
Symptom
- Al seguir las recomendaciones del artículo para abordar la KB vulnerabilidad Sweet32
- Cree un ECDSA certificado autofirmado que se asignará al perfil / para la interfaz de SSL TLS administración.
- Marque la casilla de la entidad de certificación para generar un certificado autofirmado.
- Ahora, al ir a la WebUI usando el navegador Chrome, se ve el siguiente error
This site can’t provide a secure connection
10.73.101.13 uses an unsupported protocol.
ERR_SSL_VERSION_OR_CIPHER_MISMATCH
Environment
- PAN-OS 7.1 y superior.
- Cualquier Palo Firewall Alto.
- Cualquiera Panorama.
Cause
- ECDSA CA Los certificados no se pueden usar como certificados de servidor o como certificados de cliente.
- A certificado secundario firmado por el ECDSA CA para que contenga los atributos de uso de clave extendida x509v3: TLS "Autenticación de servidor web" y TLS "Autenticación de cliente web"
Resolution
- Si la ventana Web- UI está cerrada, inicie sesión mediante CLI comandos y revierta la configuración a los que funcionan anteriormente. A continuación se muestra un ejemplo. Si el acceso no está cerrado, proceda desde el paso 2.
admin@FW> configure
admin@FW# load config version <version #> => using ? displays the config versions
admin@FW# commit
admin@FW#>exit
- Mediante el inicio de UI sesión web, genere un certificado autofirmado ECDSA con la casilla Entidad de certificación activada mediante : Certificados de > de dispositivo GUI > Generar.
- Generar un certificado hoja ECDSA firmado por el certificado creado anteriormente GUI usando: Certificados de > de dispositivo > Generar
- Agregue el certificado hoja ECDSA a un / Perfil que el perfil debe tener la versión mínima establecida en SSL TLS TLSv1.2. Esto se puede hacer usando GUI : Device > Certificate Management > / Certificate SSL TLS Profile
- Agregue eso SSL / Perfil de servicio en : Configuración de > dispositivo > pestaña Administración > Configuración TLS GUI general.
- Confirme la configuración.
- El acceso de inicio de sesión debe funcionar bien después de la confirmación.