自己署名を使用して管理インターフェイスにログインできないECDSAの証明書SSL/TLSプロフィール
19075
Created On 03/27/19 18:06 PM - Last Modified 03/03/23 02:04 AM
Symptom
- の推奨事項に従う場合KB対処する記事Sweet32 の脆弱性
- 自己署名を作成するECDSAに割り当てられる証明書SSL/TLS管理インターフェイスのプロファイル。
- 自己署名証明書を生成するには、[Certificate Authority] ボックスをオンにします。
- 現在、Chrome ブラウザーを使用して WebUI に移動すると、次のエラーが表示されます。
This site can’t provide a secure connection
10.73.101.13 uses an unsupported protocol.
ERR_SSL_VERSION_OR_CIPHER_MISMATCH
Environment
- PAN-OS 7.1 以上。
- すべてのパロアルトFirewall.
- どれでもPanorama.
Cause
- ECDSA CA 証明書をサーバー証明書またはクライアント証明書として使用することはできません。
- A によって署名された子供の証明書ECDSA CAx509v3 拡張キー使用法属性を含めるには: "TLS Web サーバー認証」および「TLS Web クライアント認証」
Resolution
- ウェブの場合UIウィンドウが閉じられ、次を使用してログインCLIコマンドを実行して、構成を以前に機能していたものに戻します。 以下に例を示します。 アクセスが閉じられていない場合は、手順 2 から続行します。
admin@FW> configure
admin@FW# load config version <version #> => using ? displays the config versions
admin@FW# commit
admin@FW#>exit
- Web の使用-UIログイン、自己署名を生成ECDSA証明書証明する機関を使用してボックスをチェックGUI:デバイス > 証明書 > 生成します。
- リーフを生成するECDSAを使用して上記で作成された証明書によって署名された証明書GUI:デバイス > 証明書 > 生成
- 葉を追加ECDSAへの証明書SSL/TLSプロファイルの最小バージョンを TLSv1.2 に設定する必要があるプロファイル。 これは、GUI :デバイス > 証明書管理 >SSL /TLS証明書プロファイル
- それを追加SSL/TLSのサービス プロファイルGUI:デバイス > セットアップ > 管理タブ > 一般設定.
- 専念構成。
- ログインアクセスは、後で正常に機能するはずです専念.