Impossible de se connecter à l’interface de gestion à l’aide d’un certificat ECDSA auto-signé SSL dans / TLS profil

Impossible de se connecter à l’interface de gestion à l’aide d’un certificat ECDSA auto-signé SSL dans / TLS profil

19083
Created On 03/27/19 18:06 PM - Last Modified 03/03/23 02:04 AM


Symptom


  • Lorsque vous suivez les recommandations de KB l’article pour remédier à la vulnérabilité sweet32
  • Créez un certificat ECDSA autosigné qui sera attribué au / profil de SSL TLS l’interface de gestion.
  • Cochez la case Autorité des certificats afin de générer un certificat autosigné.
  • Maintenant, lorsque vous allez à l’interface Utilisateur Web en utilisant le navigateur chrome, l’erreur suivante est vu
This site can’t provide a secure connection
10.73.101.13 uses an unsupported protocol.
ERR_SSL_VERSION_OR_CIPHER_MISMATCH

Environment


  • PAN-OS 7,1 et plus.
  • N’importe quel Palo Alto Firewall .
  • N’importe quel Panoramafichier .

Cause


  • ECDSA CA Les certificats ne peuvent pas être utilisés comme certificats serveur ou comme certificats clients.
  • A certificat enfant signé par le ECDSA CA pour le faire contenir le x509v3 Extended Key Usage attributs: TLS « Web Server Authentification » et TLS « Web Client Authentification »

Resolution


  1. Si la fenêtre Web UI est fermée, connectez-vous à CLI l’aide de commandes et retournez le config à ceux qui fonctionnent auparavant. Un exemple est montré ci-dessous. Si l’accès n’est pas fermé, passez de l’étape2.
admin@FW> configure
admin@FW# load config version <version #>   => using ? displays the config versions
admin@FW# commit
admin@FW#>exit
 
  1. À l’aide UI de connexion Web, générer un certificat autosigné avec la case ECDSA Autorité des certificats cochée à GUI l’aide de : > certificats > générer.
 
Image ajoutée par l'utilisateur
  1. Générer un certificat de ECDSA feuille signé par le certificat créé ci-dessus à GUI l’aide : > certificats > générer
Image ajoutée par l'utilisateur
  1. Ajoutez le certificat ECDSA de feuille à un / Profil que le profil devrait avoir Min Version définie à SSL TLS TLSv1.2. Cela peut être fait à GUI l’aide de : > gestion des certificats > / Profil SSL de TLS certificat
  2. Ajoutez à SSL cela / Profil de service dans : Onglet Configuration TLS GUI >'> de gestion > paramètres généraux.
  3. Validez la configuration.
  4. L’accès à la connexion doit fonctionner très bien après validation.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000boSoCAI&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language