SSL erreur de décryptage (entrant) chaîne incomplète

SSL erreur de décryptage (entrant) chaîne incomplète

24717
Created On 07/13/20 19:36 PM - Last Modified 03/26/21 18:29 PM


Symptom


  • SSL décryptage (entrant) a fonctionné comme prévu sur le firewall
  • Mais lorsqu’un client exécute la commande cURL à partir d’appareils spécifiques, il reçoit un message d’erreur « chaîne incomplèteSSL d’erreurs».
  • L’erreur a affecté quelques machines dans le réseau. Les systèmes touchés n’avaient pas de magasins de certificats.
  • Vérification du certificat à l’aide https://www.ssllabs.com/ssltest/index.html,nous avons reçu la même erreur énumérée ci-dessous
Erreur : la chaîne de certificats de ce serveur est incomplète

Environment


  • ANY PAN-OS
  • Palo Alto Firewall avec décryptage configuré.
  • Les hôtes finaux n’ont pas de magasin de certificats (exemple : anciens systèmes Novell)
  • Certificats importés sur le Firewall .

Cause


Les certificats importés dans le mauvais ordre provoquent uneSSL erreur de « chaîne incomplète d’erreur» sur les systèmes qui n’ont pas de magasin de certificats local.

Resolution


  1. A partir de firewall l’exportation, les certificats existants, y compris la clé privée GUI en utilisant : Device > Certificate Management > Certificate > Sélectionnez le certificat > Certificat d’exportation,vérifiez la case à cocher "Export private key" et entrez n’importe quelle passphrase.
 
Certificat d’exportation
 
  1. Enregistrer le certificat exporté vers le bureau local
  2. Répétez ce processus pour tous les certificats
  3. Une fois les certificats enregistrés, supprimez les certificats existants de firewall GUI l’utilisation : Device > Certificate Management > Certificate > Sélectionnez le certificat > Supprimer. Notez que si le certificat est utilisé, il affichera une erreur. Supprimez les références pour le certificat et réessayer.
 
Suppression du certificat
  1. Ré-importer le certificat dans le bon ordre qui est
  • racine CA
  • Certificat de serveur.
  • Certificat de client.
Utilisation GUI : Gestion du certificat de > de l’appareil> Certificat >Import (Entrez les informations requises telles que le nom du certificat, l’emplacement du fichier certificat et vérifiez la case à cocher "Import Private Key" et entrez le Passphrase, consultez les captures d’écran ci-dessous.

 
Importation du certificat
  1. Ajoutez le certificat dans les profils respectifs tels que le profil du certificat / profil ssl-tls, etc. et engagez la configuration.
  2. Retestez le certificat à l’aide de SSL boucles ou de URL laboratoires, l’erreur ne doit pas être vue.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UpOCAU&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language