SSL 解密错误(入站)不完整的链条
24661
Created On 07/13/20 19:36 PM - Last Modified 03/26/21 18:29 PM
Symptom
- SSL 解密(入站)工作如预期的那样 firewall
- 但是,当客户从特定设备运行 cURL 命令时,他们会收到错误消息"SSL 错误不完整链"
- 错误影响了网络中的几台计算机。 受影响的系统没有证书存储。
- 使用证书检查https://www.ssllabs.com/ssltest/index.html,我们收到了下面列出的相同错误
错误:此服务器的证书链不完整
Environment
- 一个尼 PAN-OS
- 帕洛阿尔托 Firewall 与解密配置。
- 端端主机没有证书存储(例如:旧的 Novell 系统)
- 在 Firewall 。
Cause
以错误顺序导入的证书在没有本地证书商店的系统上导致"SSL 错误不完整链"错误。
Resolution
- 从 firewall 出口现有的证书包括私人钥匙使用 GUI : 设备>证书管理>证书>选择证书>出口证书,检查复选框"出口私人钥匙",并输入任何密码。
- 将导出的证书保存到本地桌面
- 对所有证书重复此过程
- 保存证书后,从使用中删除现有证书 firewall GUI :设备>证书管理>证书>选择证书>删除。 请注意,如果正在使用证书,它将显示错误。 请删除证书的引用,然后重试。
- 重新导入证书的正确 顺序 ,即
- 根 CA
- 服务器证书。
- 客户端证书。
使用 GUI : 设备>证书管理>证书>输入(输入所需的信息,如证书名称, 证书文件位置和检查复选框 "进口私钥", 并输入密码,请参阅下面的截图。
- 将证书重新添加到相应的配置文件中,如证书配置文件/ssl-tls 配置文件等, 然后 提交配置。
- 使用卷发或实验室重新测试证书 SSL URL ,不应看到错误。