Error de confirmación debido a "Longitud del certificado: xxxxx es mayor que el tamaño del búfer"

Error de confirmación debido a "Longitud del certificado: xxxxx es mayor que el tamaño del búfer"

5867
Created On 10/20/23 05:19 AM - Last Modified 01/29/24 08:42 AM


Symptom


  • Ha generado un nuevo certificado con su par de claves desde Panorama o el Firewall, O
  • Ha generado un nuevo certificado con su par de claves desde un servidor externo y, a continuación, ha cargado o importado el nuevo certificado con o sin su par de claves.
  • Aplicó el certificado a las siguientes características, entre las que se incluyen, entre otras:
    • Descifrado SSL/TLS
    • GlobalProtect VPN
    • Identificación del usuario
    • Alta disponibilidad
    • Ipsec
    • Configuración de comunicación segura
    • Portal cautivo
    • Syslog seguro
    • LDAP sobre SSL/TLS
    • Acceso API
  • Error en la confirmación
  • pan_comm_0.log está generando un error similar al siguiente
2022-04-29 13:25:54.923 -0700 Error: pan_ssl_convert_cert_from_pem_to_der(pan_ssl_policy.c:189): certificate length: 2231 is greater than the size of buffer

Environment


  • PAN-OS 10.2.0 y superior
  • Certificados

Cause


  • Antes de PAN-OS v10.2.0, no había ningún límite de búfer configurado para los certificados que utiliza PAN-OS.
  • A partir de PAN-OS v10.2.0, se impuso un límite de búfer de 2048 bytes.
  • En PAN-OS v10.2.3, el límite de búfer se incrementó a 4096 bytes.
  • En PAN-OS v10.2.8, v11.1.0 y versiones posteriores, el límite de búfer se asignaba dinámicamente en función del tamaño del certificado.

Resolution


  1. Actualice a PAN-OS 10.2.8, v11.1.0 o versiones posteriores, ya que el tamaño del búfer se asignará en función del tamaño del certificado.
  2. Como opción, considere la posibilidad de eliminar el certificado actual y generar uno nuevo. Al hacerlo, tenga en cuenta los siguientes consejos:
    1. Longitud de la clave 
La longitud de la clave pública y la clave privada utilizadas en el certificado pueden afectar significativamente a su tamaño. Por ejemplo, una clave RSA de 4096 bits dará como resultado un tamaño de archivo de certificado mayor que una clave RSA de 2048 bits. Sin embargo, tenga cuidado de no reducir demasiado la longitud de la clave, ya que puede comprometer la seguridad.
 
  1. Extensiones de certificado
Los certificados pueden incluir varias extensiones, como el nombre alternativo del firmante (SAN) o el uso de claves. Considere si todas las extensiones son necesarias y elimine las que no sean necesarias.
 
  1. Criptografía de curva elíptica (ECC) 
Por lo general, los certificados basados en ECC tienen tamaños de clave más pequeños en comparación con RSA, lo que da como resultado certificados más pequeños con niveles de seguridad similares.
 
Según Wikipedia ...
 
La clave pública de curva elíptica de 256 bits debe proporcionar una seguridad comparable a la de una clave pública RSA de 3072 bits."
  1. Eliminar la información no utilizada
Asegúrese de incluir solo la información necesaria y relevante en el certificado. Elimine los campos personalizados o no estándar que no sean necesarios.
 
  1. Algoritmos hash
Tenga en cuenta los algoritmos hash utilizados en el certificado. Algunos algoritmos hash, como SHA-256, proporcionan un buen equilibrio entre seguridad y tamaño. El uso de SHA-512, por ejemplo, daría como resultado certificados más grandes.

Additional Information


En un certificado concatenado, como el que se menciona en 'Cómo instalar un certificado encadenado firmado por una CA pública ', tenga en cuenta que solo se evaluará el certificado superior (denominado "Certificado de servidor" en el artículo anterior) en relación con el tamaño del límite del búfer.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008VVACA2&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language