SSL/TLSハンドシェイクにおいて、サーバー証明書がファイアウォールによって信頼されていない

SSL/TLSハンドシェイクにおいて、サーバー証明書がファイアウォールによって信頼されていない

6405
Created On 02/08/24 16:36 PM - Last Modified 01/07/25 11:45 AM


Symptom


  • サーバー証明書はファイアウォールによって信頼されていません。
  • SSL転送設定が設定されている場合、サーバー証明書は「decrypt-untrust」で署名されるため、顧客がサイトに移動するときに証明書の警告が表示されます。
  • Logs that are visible on the firewall: 
    debug: pan_x509_validate_with_ca_hash(pan_x509.c:4122): validating tlvcorpvcvl01p.paloaltonetworks.local issued by Palo Alto Networks Inc Domain CA with hash
debug: pan_x509_validate_with_ca_hash(pan_x509.c:4129): not found: tlvcorpvcvl01p.paloaltonetworks.local <- Palo Alto Networks Inc Domain CA
  • サーバー側のpacket capture ( パケット キャプチャ - pcap)では、送信される証明書はリーフ証明書のみであり、リーフとCA の組み合わせではないことがわかります。 証明書サーバー側.PNG

Environment


  • 任意のPalo Alto Networksファイアウォールまたは Panorama。
  • 任意の PAN-OS バージョン。

Cause


サーバーはリーフ証明書のみを送信するのではなく、 TLS RFCに従って、ルートを除くチェーン内のすべての証明書を送信する必要があります。

Resolution


ルートを除くチェーン内のすべての証明書を送信するようにサーバーを構成します。

Additional Information


Palo Alto ファイアウォールで証明書の詳細を確認するにはどうすればよいですか?
SSLフォワード プロキシ
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008X3NCAU&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language