无法使用自签名登录管理界面ECDSA证书在SSL/TLS轮廓
19079
Created On 03/27/19 18:06 PM - Last Modified 03/03/23 02:05 AM
Symptom
- 当遵循中的建议时KB文章地址Sweet32 漏洞
- 创建自签名ECDSA将分配给的证书SSL/TLS管理界面的配置文件。
- 选中 Certificate Authority 框以生成自签名证书。
- 现在,当使用 chrome 浏览器进入 WebUI 时,会看到以下错误
This site can’t provide a secure connection
10.73.101.13 uses an unsupported protocol.
ERR_SSL_VERSION_OR_CIPHER_MISMATCH
Environment
- PAN-OS 7.1 及以上。
- 任何帕洛阿尔托Firewall.
- 任何Panorama.
Cause
- ECDSA CA 证书不能用作服务器证书或客户端证书。
- A 签署的儿童证明ECDSA CA使其包含 x509v3 Extended Key Usage 属性:“TLS Web 服务器身份验证”和“TLS Web 客户端身份验证"
Resolution
- 如果网络——UI窗口关闭,登录使用CLI命令并将配置还原为任何以前工作的配置。 一个例子如下所示。 如果访问未关闭,则从步骤 2 继续。
admin@FW> configure
admin@FW# load config version <version #> => using ? displays the config versions
admin@FW# commit
admin@FW#>exit
- 使用网络-UI登录,生成自签名ECDSA证书与证书颁发机构框检查使用GUI:设备 > 证书 > 生成。
- 生成一片叶子ECDSA由上面使用创建的证书签名的证书GUI:设备 > 证书 > 生成
- 添加叶子ECDSA证书给SSL/TLS配置文件应将最低版本设置为 TLSv1.2。 这可以使用GUI:设备 > 证书管理 >SSL /TLS证书简介
- 添加那个SSL/TLS中的服务配置文件GUI:设备 > 设置 > 管理选项卡 > 常规设置.
- 犯罪配置。
- 登录访问应该可以正常工作犯罪.