SSL/TLS 핸드셰이크에서 방화벽 이 서버 인증 신뢰하지 않습니다.

SSL/TLS 핸드셰이크에서 방화벽 이 서버 인증 신뢰하지 않습니다.

6397
Created On 02/08/24 16:36 PM - Last Modified 01/07/25 11:46 AM


Symptom


  • 방화벽 은 서버 인증 신뢰하지 않습니다.
  • SSL Forward 구성 구현되어 있는 경우, 서버 인증 "decrypt-untrust"로 서명되어 고객이 사이트로 이동할 때 인증 경고를 받게 됩니다.
  • Logs that are visible on the firewall: 
    debug: pan_x509_validate_with_ca_hash(pan_x509.c:4122): validating tlvcorpvcvl01p.paloaltonetworks.local issued by Palo Alto Networks Inc Domain CA with hash
debug: pan_x509_validate_with_ca_hash(pan_x509.c:4129): not found: tlvcorpvcvl01p.paloaltonetworks.local <- Palo Alto Networks Inc Domain CA
  • 서버 측 패킷 캡처 에서는 CA 와 리프 인증 아닌 리프 인증 만 전송되는 것을 볼 수 있습니다. 인증서_서버_측.PNG

Environment


  • Palo Alto Networks 방화벽이나 Panorama.
  • 모든 PAN-OS 버전.

Cause


TLS RFC 에 따르면 서버는 리프 인증 만 보내서는 안 되며, 체인에 있는 모든 인증서(루트 제외)를 보내야 합니다.

Resolution


루트를 제외한 체인의 모든 인증서를 보내도록 서버를 구성합니다.

Additional Information


Palo Alto 방화벽에서 인증서 세부 정보를 확인하는 방법은 무엇입니까?
SSL 포워드 프록시
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008X3NCAU&lang=ko&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language