SSL error de descifrado (entrante) cadena incompleta

SSL error de descifrado (entrante) cadena incompleta

24675
Created On 07/13/20 19:36 PM - Last Modified 03/26/21 18:29 PM


Symptom


  • SSL descifrado (entrante) funcionó como se esperaba en el firewall
  • Pero cuando un cliente ejecuta el comando cURL desde dispositivos específicos recibe el mensaje de error "SSL cadena incompleta de error"
  • El error afectó a algunas máquinas de la red. Los sistemas afectados no tenían almacenes de certificados.
  • Comprobando el certificado usando https://www.ssllabs.com/ssltest/index.html,recibimos el mismo error que se enumera a continuación
Error: La cadena de certificados de este servidor está incompleta

Environment


  • UnaNY PAN-OS
  • Palo Alto Firewall con Descifrado configurado.
  • Los hosts finales no tienen almacén de certificados (por ejemplo: sistemas Novell antiguos)
  • Certificados importados en el Firewall archivo .

Cause


Los certificados importados en el orden incorrecto provocan un errorSSL "cadena incompleta de errores"en sistemas que no tienen un almacén de certificados local.

Resolution


  1. En la firewall exportación de los certificados existentes, incluida la clave privada mediante : Device > Certificate Management > Certificate > Select the certificate > Export GUI Certificate), marque la casilla"Exportar clave privada"e introduzca cualquier frase de contraseña.
 
Certificado de exportación
 
  1. Guarde el certificado exportado en el escritorio local
  2. Repita este proceso para todos los certificados
  3. Una vez guardados los certificados, elimine los certificados existentes de firewall la opción Using : Device > Certificate Management > Certificate > Select the certificate > GUI Delete. Tenga en cuenta que si se utiliza el certificado, se mostrará un error. Quite las referencias del certificado e inténtelo de nuevo.
 
Eliminación del certificado
  1. Vuelva a importar el certificado en el orden correcto que es
  • Raíz CA
  • Certificado de servidor.
  • Certificado de cliente.
Usar GUI : Administración de certificados > dispositivo> Certificado >Import (Ingrese la información requerida como nombre de certificado, ubicación del archivo de certificado y marque la casilla de verificación"Importar clave privada"e ingrese la frase de contraseña, consulte las capturas de pantalla a continuación.

 
Importación del certificado
  1. Agregue el certificado de nuevo en los perfiles respectivos tales como perfil de certificado / ssl-tls-profile etc y confirme la configuración.
  2. Vuelva a probar el certificado mediante curl o SSL URL laboratorios, no se debe ver el error.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UpOCAU&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language