El cortafuegos no confía en el certificado del servidor en el protocolo de enlace SSL/TLS

El cortafuegos no confía en el certificado del servidor en el protocolo de enlace SSL/TLS

6381
Created On 02/08/24 16:36 PM - Last Modified 01/07/25 11:44 AM


Symptom


  • El cortafuegos no confía en el certificado del servidor.
  • Si la configuración de reenvío SSL está activada, el cliente recibirá una advertencia de certificado al navegar al sitio porque el certificado del servidor estará firmado con "decrypt-untrust".
  • Logs that are visible on the firewall: 
    debug: pan_x509_validate_with_ca_hash(pan_x509.c:4122): validating tlvcorpvcvl01p.paloaltonetworks.local issued by Palo Alto Networks Inc Domain CA with hash
debug: pan_x509_validate_with_ca_hash(pan_x509.c:4129): not found: tlvcorpvcvl01p.paloaltonetworks.local <- Palo Alto Networks Inc Domain CA
  • En la packet capture (captura de paquetes - pcap) del lado del servidor, es visible que el único certificado que se envía es el certificado de hoja, en lugar de la hoja más la CA: Certificado_lado_del_servidor.PNG

Environment


  • Cualquier firewall de Palo Alto Networks o Panorama.
  • Cualquier versión de PAN-OS.

Cause


El servidor no debería simplemente enviar un certificado de hoja, según el RFC TLS , se deben enviar todos los certificados de la cadena excepto el raíz.

Resolution


Configure el servidor para enviar todos los certificados de la cadena excepto la raíz.

Additional Information


¿Cómo comprobar los detalles de los certificados en los firewalls de Palo Alto?
Proxy SSL de reenvío
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008X3NCAU&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language