Das Zertifikat wird von der Firewall im SSL/TLS Handshake nicht als vertrauenswürdig eingestuft.

Das Zertifikat wird von der Firewall im SSL/TLS Handshake nicht als vertrauenswürdig eingestuft.

6383
Created On 02/08/24 16:36 PM - Last Modified 01/07/25 11:43 AM


Symptom


  • Das Zertifikat wird von der Firewall nicht als vertrauenswürdig eingestuft.
  • Wenn die SSL Konfiguration vorhanden ist, erhält der Kunde beim Navigieren zur Site eine Zertifikat , da das Zertifikat mit „decrypt-untrust“ signiert ist.
  • Logs that are visible on the firewall: 
    debug: pan_x509_validate_with_ca_hash(pan_x509.c:4122): validating tlvcorpvcvl01p.paloaltonetworks.local issued by Palo Alto Networks Inc Domain CA with hash
debug: pan_x509_validate_with_ca_hash(pan_x509.c:4129): not found: tlvcorpvcvl01p.paloaltonetworks.local <- Palo Alto Networks Inc Domain CA
  • Bei der serverseitigen Packet Capture (Paketdatenaufzeichnung, PCAP) ist sichtbar, dass das einzige gesendete Zertifikat das Zertifikat ist, statt des Blattzertifikats plus der CA: Zertifikat_serverseitig.PNG

Environment


  • Jede Firewall oder Panorama von Palo Alto Networks .
  • Jede PAN-OS-Version.

Cause


Der Server sollte nicht nur ein Zertifikat senden. Gemäß TLS RFC sollten alle Zertifikate in der Kette außer dem Stammzertifikat gesendet werden.

Resolution


Konfigurieren Sie den Server so, dass alle Zertifikate in der Kette außer dem Stammzertifikat gesendet werden.

Additional Information


Wie überprüfe ich die Zertifikatsdetails von Palo Alto-Firewalls?
SSL-Weiterleitungsproxy
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008X3NCAU&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language