Impossible de se connecter à l’interface de gestion à l’aide d’un certificat ECDSA auto-signé SSL dans / TLS profil
19083
Created On 03/27/19 18:06 PM - Last Modified 03/03/23 02:04 AM
Symptom
- Lorsque vous suivez les recommandations de KB l’article pour remédier à la vulnérabilité sweet32
- Créez un certificat ECDSA autosigné qui sera attribué au / profil de SSL TLS l’interface de gestion.
- Cochez la case Autorité des certificats afin de générer un certificat autosigné.
- Maintenant, lorsque vous allez à l’interface Utilisateur Web en utilisant le navigateur chrome, l’erreur suivante est vu
This site can’t provide a secure connection
10.73.101.13 uses an unsupported protocol.
ERR_SSL_VERSION_OR_CIPHER_MISMATCH
Environment
- PAN-OS 7,1 et plus.
- N’importe quel Palo Alto Firewall .
- N’importe quel Panoramafichier .
Cause
- ECDSA CA Les certificats ne peuvent pas être utilisés comme certificats serveur ou comme certificats clients.
- A certificat enfant signé par le ECDSA CA pour le faire contenir le x509v3 Extended Key Usage attributs: TLS « Web Server Authentification » et TLS « Web Client Authentification »
Resolution
- Si la fenêtre Web UI est fermée, connectez-vous à CLI l’aide de commandes et retournez le config à ceux qui fonctionnent auparavant. Un exemple est montré ci-dessous. Si l’accès n’est pas fermé, passez de l’étape2.
admin@FW> configure
admin@FW# load config version <version #> => using ? displays the config versions
admin@FW# commit
admin@FW#>exit
- À l’aide UI de connexion Web, générer un certificat autosigné avec la case ECDSA Autorité des certificats cochée à GUI l’aide de : > certificats > générer.
- Générer un certificat de ECDSA feuille signé par le certificat créé ci-dessus à GUI l’aide : > certificats > générer
- Ajoutez le certificat ECDSA de feuille à un / Profil que le profil devrait avoir Min Version définie à SSL TLS TLSv1.2. Cela peut être fait à GUI l’aide de : > gestion des certificats > / Profil SSL de TLS certificat
- Ajoutez à SSL cela / Profil de service dans : Onglet Configuration TLS GUI >'> de gestion > paramètres généraux.
- Validez la configuration.
- L’accès à la connexion doit fonctionner très bien après validation.