「証明書の長さ: xxxxx がバッファのサイズを超えています」によるコミットの失敗
5857
Created On 10/20/23 05:19 AM - Last Modified 01/29/24 08:42 AM
Symptom
- Panorama またはファイアウォールからキーペアを使用して新しい証明書を生成した、または
- 外部サーバーからキーペアを使用して新しい証明書を生成し、キーペアの有無にかかわらず新しい証明書をアップロード/インポートしました。
- 証明書を次の機能に適用しましたが、これらに限定されません。
- SSL/TLS復号化
- グローバルプロテクトVPN
- ユーザー識別
- 高可用性
- Ipsec
- セキュアな通信設定
- キャプティブポータル
- セキュアなSyslog
- SSL/TLS経由のLDAP
- API アクセス
- コミットの失敗
- pan_comm_0.log で次のようなエラーが発生しています
2022-04-29 13:25:54.923 -0700 Error: pan_ssl_convert_cert_from_pem_to_der(pan_ssl_policy.c:189): certificate length: 2231 is greater than the size of buffer
Environment
- PAN-OS 10.2.0 以降
- 証明 書
Cause
- PAN-OS v10.2.0 より前では、PAN-OS が使用する証明書にバッファ制限は設定されていませんでした。
- PAN-OS v10.2.0 以降、2048 バイトのバッファ制限が課されました。
- PAN-OS v10.2.3 では、バッファ制限が 4096 バイトに増加しました。
- PAN-OS v10.2.8、v11.1.0 以降では、バッファ制限は証明書のサイズに基づいて動的に割り当てられていました。
Resolution
- PAN-OS 10.2.8、v11.1.0 以降のバージョンにアップグレードすると、バッファ サイズが証明書のサイズに基づいて割り当てられます。
- オプションとして、現在の証明書を削除して新しい証明書を生成することを検討してください。 その際、次の点に注意してください。
- キーの長さ
証明書で使用される公開キーと秘密キーの長さは、そのサイズに大きく影響する可能性があります。 たとえば、4096 ビットの RSA キーは、2048 ビットの RSA キーよりも証明書ファイルのサイズが大きくなります。 ただし、キーの長さを短くしすぎるとセキュリティが損なわれる可能性があるため、注意が必要です。
- 証明書の拡張
証明書には、サブジェクトの別名 (SAN) やキー使用法など、さまざまな拡張子が含まれる場合があります。 すべての拡張機能が必要かどうかを検討し、不要な拡張機能を削除します。
- 楕円曲線暗号(ECC)
ECC ベースの証明書は、通常、RSA に比べてキー サイズが小さいため、同様のセキュリティ レベルで証明書が小さくなります。
ウィキペディアによると...
" 256 ビットの楕円曲線公開鍵は、3072 ビットの RSA 公開鍵に匹敵するセキュリティを提供する必要があります。"
- 未使用の情報を削除する
証明書には、必要かつ関連性のある情報のみが含まれていることを確認してください。 不要なカスタムフィールドや非標準フィールドをすべて削除します。
- ハッシュ アルゴリズム
証明書で使用されるハッシュ アルゴリズムに注意してください。 SHA-256 などの一部のハッシュ アルゴリズムは、セキュリティとサイズのバランスが取れています。 たとえば、SHA-512 を使用すると、証明書のサイズが大きくなります。
Additional Information
「パブリック CA によって署名されたチェーン証明書をインストールする方法 」で説明したような連結証明書では、最上位の証明書(前述の記事では「サーバー証明書」と呼ぶ)のみがバッファ制限サイズに関して評価されることに注意してください。