由于“证书长度:xxxxx 大于缓冲区大小”导致提交失败
5861
Created On 10/20/23 05:19 AM - Last Modified 01/29/24 08:42 AM
Symptom
- 您已从 Panorama 或防火墙生成了具有密钥对的新证书,或者
- 您已从外部服务器生成了具有密钥对的新证书,然后上传/导入了新证书(无论是否包含其密钥对)。
- 您将证书应用于以下功能,包括但不限于:
- SSL/TLS 解密
- 全球保护VPN
- 用户识别
- 高可用性
- Ipsec
- 安全通信设置
- 强制门户
- 安全系统日志
- 基于 SSL/TLS 的 LDAP
- API 访问
- 提交失败
- pan_comm_0.log生成类似于以下内容的错误
2022-04-29 13:25:54.923 -0700 Error: pan_ssl_convert_cert_from_pem_to_der(pan_ssl_policy.c:189): certificate length: 2231 is greater than the size of buffer
Environment
- PAN-OS 10.2.0 及更高版本
- 证书
Cause
- 在 PAN-OS v10.2.0 之前,没有为 PAN-OS 使用的证书配置缓冲区限制。
- 从 PAN-OS v10.2.0 开始,施加了 2048 字节的缓冲区限制。
- 在 PAN-OS v10.2.3 中,缓冲区限制增加到 4096 字节。
- 在 PAN-OS v10.2.8、v11.1.0 及更高版本中,缓冲区限制是根据证书大小动态分配的。
Resolution
- 升级到 PAN-OS 10.2.8、v11.1.0 或更高版本,因为缓冲区大小将根据证书大小进行分配。
- 作为选项,请考虑删除当前证书并生成新证书。 执行此操作时,请记住以下几点:
- 密钥长度
证书中使用的公钥和私钥的长度会显著影响其大小。 例如,4096 位 RSA 密钥将导致证书文件大小大于 2048 位 RSA 密钥。 但是,请谨慎不要过多地减少密钥长度,因为这会危及安全性。
- 证书扩展
证书可能包括各种扩展名,例如使用者备用名称 (SAN) 或密钥用法。 考虑是否所有扩展都是必需的,并删除任何不需要的扩展。
- 椭圆曲线加密 (ECC)
与 RSA 相比,基于 ECC 的证书通常具有较小的密钥大小,从而导致具有相似安全级别的较小证书。
根据 维基百科 ......
“ 256 位椭圆曲线公钥应提供与 3072 位 RSA 公钥相当的安全性。"
- 删除未使用的信息
确保在证书中仅包含必要的相关信息。 删除任何不需要的自定义或非标准字段。
- 哈希算法
请注意证书中使用的哈希算法。 一些哈希算法(如 SHA-256)在安全性和大小之间提供了良好的平衡。 例如,使用 SHA-512 将导致更大的证书。
Additional Information
在串联证书中,例如“如何安装由公共 CA 签名的链式 证书”中提到的证书,请注意,只有顶级证书(在上述文章中称为“服务器证书”)才会被评估有关缓冲区限制大小。