Commit-Fehler aufgrund von "Zertifikatslänge: xxxxx ist größer als die Größe des Puffers"

Commit-Fehler aufgrund von "Zertifikatslänge: xxxxx ist größer als die Größe des Puffers"

5867
Created On 10/20/23 05:19 AM - Last Modified 01/29/24 08:42 AM


Symptom


  • Sie haben ein neues Zertifikat mit seinem Schlüsselpaar aus Panorama oder der Firewall generiert, ODER
  • Sie haben ein neues Zertifikat mit seinem Schlüsselpaar von einem externen Server generiert und dann das neue Zertifikat mit oder ohne Schlüsselpaar hochgeladen/importiert.
  • Sie haben das Zertifikat auf die folgenden Features angewendet, einschließlich, aber nicht beschränkt auf:
    • SSL/TLS-Entschlüsselung
    • GlobalProtect VPN
    • Benutzerkennzeichen
    • Hohe Verfügbarkeit
    • Ipsec
    • Einstellungen für die sichere Kommunikation
    • Captive Portal
    • Sicheres Syslog
    • LDAP über SSL/TLS
    • API-Zugang
  • Commit schlägt fehl
  • pan_comm_0.log generiert einen Fehler ähnlich dem folgenden
2022-04-29 13:25:54.923 -0700 Error: pan_ssl_convert_cert_from_pem_to_der(pan_ssl_policy.c:189): certificate length: 2231 is greater than the size of buffer

Environment


  • PAN-OS 10.2.0 und höher
  • Zertifikate

Cause


  • Vor PAN-OS v10.2.0 wurde kein Pufferlimit für die von PAN-OS verwendeten Zertifikate konfiguriert.
  • Ab PAN-OS v10.2.0 wurde ein Pufferlimit von 2048 Byte festgelegt.
  • In PAN-OS v10.2.3 wurde die Puffergrenze auf 4096 Byte erhöht.
  • In PAN-OS v10.2.8, v11.1.0 und höher wurde das Pufferlimit basierend auf der Zertifikatsgröße dynamisch zugewiesen.

Resolution


  1. Führen Sie ein Upgrade auf PAN-OS 10.2.8, v11.1.0 oder höher durch, da die Puffergröße basierend auf der Zertifikatsgröße zugewiesen wird.
  2. Optional können Sie das aktuelle Zertifikat löschen und ein neues generieren. Beachten Sie dabei die folgenden Hinweise:
    1. Schlüssellänge 
Die Länge des öffentlichen und privaten Schlüssels, die im Zertifikat verwendet werden, kann sich erheblich auf die Größe des Zertifikats auswirken. Ein 4096-Bit-RSA-Schlüssel führt beispielsweise zu einer größeren Zertifikatsdatei als ein 2048-Bit-RSA-Schlüssel. Seien Sie jedoch vorsichtig, wenn Sie die Schlüssellänge zu stark reduzieren, da dies die Sicherheit beeinträchtigen kann.
 
  1. Zertifikats-Erweiterungen
Zertifikate können verschiedene Erweiterungen enthalten, z. B. Subject Alternative Name (SAN) oder Key Usage. Überlegen Sie, ob alle Erweiterungen notwendig sind, und entfernen Sie alle Erweiterungen, die nicht erforderlich sind.
 
  1. Kryptographie mit elliptischen Kurven (ECC) 
ECC-basierte Zertifikate haben im Vergleich zu RSA in der Regel kleinere Schlüsselgrößen, was zu kleineren Zertifikaten mit ähnlichen Sicherheitsstufen führt.
 
Laut Wikipedia ...
 
" Der öffentliche Schlüssel mit elliptischer 256-Bit-Kurve sollte eine vergleichbare Sicherheit wie ein öffentlicher 3072-Bit-RSA-Schlüssel bieten."
  1. Entfernen Sie ungenutzte Informationen
Stellen Sie sicher, dass Sie nur notwendige und relevante Informationen in das Zertifikat aufnehmen. Entfernen Sie alle benutzerdefinierten oder nicht standardmäßigen Felder, die nicht benötigt werden.
 
  1. Hash-Algorithmen
Achten Sie auf die Hash-Algorithmen, die im Zertifikat verwendet werden. Einige Hash-Algorithmen, wie z. B. SHA-256, bieten ein gutes Gleichgewicht zwischen Sicherheit und Größe. Die Verwendung von SHA-512 würde beispielsweise zu größeren Zertifikaten führen.

Additional Information


Beachten Sie bei einem verketteten Zertifikat, wie z. B. dem in "Installieren eines verketteten Zertifikats, das von einer öffentlichen Zertifizierungsstelle signiert wurde ", erwähnt, dass nur das oberste Zertifikat (im oben genannten Artikel als "Serverzertifikat" bezeichnet) hinsichtlich der Pufferbegrenzung ausgewertet wird.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008VVACA2&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language