SSL 復号化エラー (受信) 不完全なチェーン
24675
Created On 07/13/20 19:36 PM - Last Modified 03/26/21 18:29 PM
Symptom
- SSL 復号化 (受信) は、期待どおりに機能し、 firewall
- しかし、お客様が特定のデバイスから cURL コマンドを実行すると、エラー メッセージ "SSL エラーの不完全なチェーン" が表示されます。
- エラーは、ネットワーク内のいくつかのマシンに影響を与えました。 影響を受けるシステムには証明書ストアがありません。
- https://www.ssllabs.com/ssltest/index.htmlを使用して証明書をチェックすると、以下に示す同じエラーが表示されます。
エラー : このサーバーの証明書チェーンは不完全です
Environment
- Ny PAN-OS
- Firewall構成された復号化とパロアルト。
- エンドホストに証明書ストアがない(例: 古いNovellシステム)
- にインポートされた証明書 Firewall 。
Cause
間違った順序でインポートされた証明書は、ローカル証明書ストアを持たないシステムで "SSL 不完全なチェーン" エラーが発生します。
Resolution
- [ firewall デバイス >証明書の管理>証明書を使用して既存の証明書をエクスポートする] > [ 証明書 GUI のエクスポート ] を選択して、証明書>エクスポート証明書を選択します。
- エクスポートした証明書をローカル デスクトップに保存します。
- すべての証明書に対してこのプロセスを繰り返す
- 証明書が保存されたら、 [ 使用 : firewall デバイス GUI >証明書の管理>証明書 ] から既存の証明書を削除>証明書>削除 を選択します。 証明書が使用されている場合は、エラーが表示されます。 証明書の参照を削除して、やり直してください。
- 正しい順序で証明書を再インポートします。
- ルート CA
- サーバー証明書。
- クライアント証明書。
使用 GUI : デバイス >証明書管理>証明書>インポート(証明書名、証明書ファイルの場所などの必要な情報を入力し、チェック ボックスをオンにして、秘密キーのインポートを入力し、パスフレーズを入力して下のスクリーンショットを参照してください。
- 証明書プロファイル/ssl-tls-プロファイルなどの各プロファイルに証明書を追加し、設定を コミット します。
- curl または labs を使用して証明書を再テスト SSL URL してください。