SSL/TLS握手过程中防火墙不信任服务器证书

SSL/TLS握手过程中防火墙不信任服务器证书

5429
Created On 02/08/24 16:36 PM - Last Modified 01/07/25 11:46 AM


Symptom


  • 防火墙不信任服务器证书。
  • 如果已配置SSL Forward,客户在访问网站时将收到证书警告,因为服务器证书将使用“decrypt-untrust”进行签名。
  • Logs that are visible on the firewall: 
    debug: pan_x509_validate_with_ca_hash(pan_x509.c:4122): validating tlvcorpvcvl01p.paloaltonetworks.local issued by Palo Alto Networks Inc Domain CA with hash
debug: pan_x509_validate_with_ca_hash(pan_x509.c:4129): not found: tlvcorpvcvl01p.paloaltonetworks.local <- Palo Alto Networks Inc Domain CA
  • 在服务器端packet capture(数据包捕获-pcap)中,可以看到,发送的唯一证书是叶证书,而不是叶证书加CA: 证书_服务器端.PNG

Environment


  • 任何Palo Alto Networks防火墙或 Panorama。
  • 任何 PAN-OS 版本。

Cause


服务器不应该只发送叶证书,根据TLS RFC ,应该发送链中除根之外的所有证书。

Resolution


配置服务器以发送链中除根之外的所有证书。

Additional Information


如何检查 Palo Alto 防火墙上的证书详细信息?
SSL 转发代理
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008X3NCAU&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language