SSL Entschlüsselungsfehler (Eingehende) unvollständige Kette

SSL Entschlüsselungsfehler (Eingehende) unvollständige Kette

24675
Created On 07/13/20 19:36 PM - Last Modified 03/26/21 18:29 PM


Symptom


  • SSL Entschlüsselung (Inbound) funktionierte wie erwartet auf der firewall
  • Wenn ein Kunde jedoch den Befehl cURL von bestimmten Geräten ausführt, erhält er die FehlermeldungSSL "Fehler unvollständige Kette".
  • Der Fehler betraf einige Computer im Netzwerk. Die betroffenen Systeme verfügten nicht über Zertifikatspeicher.
  • Beim Überprüfen des Zertifikats mit https://www.ssllabs.com/ssltest/index.htmlhaben wir denselben Fehler erhalten, der unten aufgeführt ist.
Fehler: Die Zertifikatkette dieses Servers ist unvollständig.

Environment


  • Any PAN-OS
  • Palo Alto Firewall mit Decryption konfiguriert.
  • Endhosts verfügen nicht über einen Zertifikatspeicher (Beispiel: alte Novell-Systeme)
  • Zertifikate, die auf der importiert Firewall wurden.

Cause


Zertifikate, die in der falschen Reihenfolge importiert werden, verursachen "SSL Fehler unvollständige Kette" auf Systemen, die nicht über einen lokalen Zertifikatspeicher verfügen.

Resolution


  1. Aus dem firewall Export der vorhandenen Zertifikate einschließlich des privaten Schlüssels mit : Device > Certificate Management > Certificate > Wählen Sie das Zertifikat > Export GUI Zertifikat, aktivieren Sie das Kontrollkästchen"Privatschlüssel exportieren" und geben Sie eine beliebige Passphrase ein.
 
Exportieren des Zertifikats
 
  1. Speichern des exportierten Zertifikats auf dem lokalen Desktop
  2. Wiederholen Sie diesen Vorgang für alle Zertifikate
  3. Nachdem Zertifikate gespeichert wurden, löschen Sie die vorhandenen Zertifikate aus der firewall Verwendung : Device > Certificate Management > Certificate > wählen Sie das Zertifikat > GUI Löschenaus. Beachten Sie, dass bei Verwendung des Zertifikats ein Fehler angezeigt wird. Entfernen Sie die Verweise für das Zertifikat, und versuchen Sie es erneut.
 
Löschen des Zertifikats
  1. Importieren Sie das Zertifikat in der richtigen Reihenfolge, die
  • wurzel CA
  • Server Zertifikat.
  • Clientzertifikat.
Verwenden GUI : Device > Zertifikatsverwaltung> Zertifikat >Import (Geben Sie die erforderlichen Informationen wie Zertifikatsname, Speicherort der Zertifikatsdatei ein und aktivieren Sie das Kontrollkästchen"Privatschlüssel importieren" und geben Sie die Passphraseein, siehe Screenshots unten.

 
Importieren des Zertifikats
  1. Fügen Sie das Zertifikat wieder in die jeweiligen Profile wie Zertifikatprofil / ssl-tls-profil etc. und übertragen Sie die Konfiguration.
  2. Testen Sie das Zertifikat erneut mit curl oder SSL labs , der Fehler sollte nicht angezeigt URL werden.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UpOCAU&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language