Le certificat du serveur n'est pas approuvé par le pare-feu dans la liaison SSL/TLS

Le certificat du serveur n'est pas approuvé par le pare-feu dans la liaison SSL/TLS

5305
Created On 02/08/24 16:36 PM - Last Modified 01/07/25 11:42 AM


Symptom


  • Le certificat du serveur n'est pas approuvé par le pare-feu.
  • Si la configuration SSL Forward est en place, le client recevra un avertissement de certificat lors de la navigation sur le site car le certificat du serveur sera signé avec le « decrypt-untrust ».
  • Logs that are visible on the firewall: 
    debug: pan_x509_validate_with_ca_hash(pan_x509.c:4122): validating tlvcorpvcvl01p.paloaltonetworks.local issued by Palo Alto Networks Inc Domain CA with hash
debug: pan_x509_validate_with_ca_hash(pan_x509.c:4129): not found: tlvcorpvcvl01p.paloaltonetworks.local <- Palo Alto Networks Inc Domain CA
  • Lors de la packet capture (capture de paquet - pcap) côté serveur, il est visible que le seul certificat envoyé est le certificat feuille, au lieu de la feuille plus CA: Certificat_côté_serveur.PNG

Environment


  • Tout pare-feu ou Panorama Palo Alto Networks .
  • Toute version de PAN-OS.

Cause


Le serveur ne doit pas simplement envoyer un certificat feuille, selon la RFC TLS , tous les certificats de la chaîne doivent être envoyés à l'exception du certificat racine.

Resolution


Configurez le serveur pour envoyer tous les certificats de la chaîne sauf la racine.

Additional Information


Comment vérifier les détails des certificats sur les pare-feu Palo Alto ?
Proxy de transfert SSL
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008X3NCAU&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language