Échec de la validation en raison de « La longueur du certificat : xxxxx est supérieure à la taille de la mémoire tampon »
5867
Created On 10/20/23 05:19 AM - Last Modified 01/29/24 08:42 AM
Symptom
- Vous avez généré un nouveau certificat avec sa paire de clés à partir de Panorama ou du pare-feu, OU
- Vous avez généré un nouveau certificat avec sa paire de clés à partir d'un serveur externe, puis vous avez chargé/importé le nouveau certificat avec ou sans sa paire de clés.
- Vous avez appliqué le certificat aux fonctionnalités suivantes, y compris, mais sans s’y limiter :
- Décryptage SSL/TLS
- GlobalProtect VPN
- Identification de l’utilisateur
- Haute disponibilité
- Ipsec
- Paramètres de communication sécurisés
- Portail captif
- Syslog sécurisé
- LDAP sur SSL/TLS
- Accès aux API
- Échec de la validation
- pan_comm_0.log génère une erreur similaire à la suivante :
2022-04-29 13:25:54.923 -0700 Error: pan_ssl_convert_cert_from_pem_to_der(pan_ssl_policy.c:189): certificate length: 2231 is greater than the size of buffer
Environment
- PAN-OS 10.2.0 et versions ultérieures
- Certificats
Cause
- Avant PAN-OS v10.2.0, aucune limite de mémoire tampon n’était configurée pour les certificats utilisés par PAN-OS.
- À partir de PAN-OS v10.2.0, une limite de mémoire tampon de 2048 octets a été imposée.
- Dans PAN-OS v10.2.3, la limite de mémoire tampon a été augmentée à 4096 octets.
- Dans PAN-OS v10.2.8, v11.1.0 et versions ultérieures, la limite de mémoire tampon était allouée dynamiquement en fonction de la taille du certificat.
Resolution
- Effectuez une mise à niveau vers PAN-OS 10.2.8, v11.1.0 ou versions ultérieures, car la taille de la mémoire tampon sera allouée en fonction de la taille du certificat.
- Vous pouvez également supprimer le certificat actuel et en générer un nouveau. Ce faisant, gardez à l’esprit les conseils suivants :
- Longueur de la clé
La longueur de la clé publique et de la clé privée utilisées dans le certificat peut avoir un impact significatif sur sa taille. Par exemple, une clé RSA de 4096 bits entraînera une taille de fichier de certificat plus importante qu’une clé RSA de 2048 bits. Cependant, faites attention à ne pas trop réduire la longueur des clés, car cela peut compromettre la sécurité.
- Extensions de certificat
Les certificats peuvent inclure diverses extensions, telles que SAN (Subject Alternative Name) ou Key Usage. Déterminez si toutes les extensions sont nécessaires et supprimez celles qui ne sont pas nécessaires.
- Cryptographie à courbe elliptique (ECC)
Les certificats basés sur ECC ont généralement des tailles de clé plus petites que celles de RSA, ce qui se traduit par des certificats plus petits avec des niveaux de sécurité similaires.
Selon Wikipédia ...
La clé publique à courbe elliptique de 256 bits doit fournir une sécurité comparable à celle d’une clé publique RSA de 3072 bits."
- Supprimer les informations inutilisées
Assurez-vous de n’inclure que les informations nécessaires et pertinentes dans le certificat. Supprimez tous les champs personnalisés ou non standard qui ne sont pas nécessaires.
- Algorithmes de hachage
Faites attention aux algorithmes de hachage utilisés dans le certificat. Certains algorithmes de hachage, comme SHA-256, offrent un bon équilibre entre la sécurité et la taille. L’utilisation de SHA-512, par exemple, se traduirait par des certificats plus volumineux.
Additional Information
Dans un certificat concaténé, tel que celui mentionné dans « Comment installer un certificat chaîné signé par une autorité de certification publique », notez que seul le certificat supérieur (appelé « certificat de serveur » dans l'article susmentionné) sera évalué en ce qui concerne la taille de la limite de tampon.