Commit-Warnung: Zertifikatskette im Zertifikat nicht korrekt gebildet

Commit-Warnung: Zertifikatskette im Zertifikat nicht korrekt gebildet

45089
Created On 01/13/21 09:05 AM - Last Modified 05/15/23 09:36 AM


Symptom


  • Bei dem Zertifikat handelt es sich um ein CA Zertifikat, das firewall außerhalb des Zertifikats generiert wird, wobei der private Schlüssel nicht auf dem Palo Alto NGFWgespeichert ist.
  • Das Zertifikat hat ein PFX Format und der Import mit Passphrase ist erfolgreich, aber jeder Commit gibt eine Warnmeldung über die Zertifikatskette aus, nachdem die Vorwärtsvertrauensstellung für das Zertifikat aktiviert wurde.
  • A Das Protokoll-Snippet aus MS.log (abzüglich MP-LOG MS.log) zeigt Folgendes an
Warning: pan_fill_ca(pan_config_parser_net.c:9144): certificate chain not correctly formed in certificate FWTrust

 

Environment


  • Palo Alto Firewall
  • Unterstützt PAN-OS
  • Zertifikate
  • CSR wurde nicht am firewallgeneriert.
Anmerkung: CSR = Anforderung zum Signieren von Zertifikaten

Cause


Hier hat das importierte Zertifikatspaket Zertifikate in falscher Reihenfolge und somit wird der Kettenfehler generiert.
In der Regel ist die richtige Reihenfolge der Zertifikate in einem Bundle wie folgt.
  1. Endbenutzerzertifikat - Ausgestellt an: example.com; Ausgestellt von: IntermediateCert1
  2. Zwischenzertifikat 1 - ausgestellt an: IntermediateCert1; Herausgegeben von: IntermediateCert2
  3. Zwischenzertifikat 2 - Ausgestellt an: IntermediateCert2; Ausgestellt von: Stammzertifikat
  4. Stammzertifikat – Ausgestellt an und ausgestellt von: Stammzertifikat.

Resolution


Um das Problem zu beheben, fordern Sie den Zertifikatsanbieter auf, das Zertifikat in der richtigen Reihenfolge bereitzustellen. Es kann auch behoben werden, indem das Zertifikat mit openssl geändert wird. 
 
  1. Holen Sie sich das Zertifikat in einer .PFX Dateiformat
  2. Umwandeln.PFX Datei in eine .PEM Dateiformat und erstellen Sie eine Kopie zur sicheren Aufbewahrung.
  3. Öffnen Sie die . Pem-Datei in einem Texteditor.
  4. Verschieben Sie Zertifikate in der richtigen Reihenfolge, wie oben erwähnt.
  5. Importieren Sie die .PEM Kombinierte Datei mit firewall privatem Schlüssel.
openssl pkcs12 -in cert.pfx -out file.nokey.pem -nokeys
openssl pkcs12 -in cert.pfx -out file.withkey.pem
openssl rsa -in file.withkey.pem -out file.key
cat file.nokey.pem file.key > file.combo.pem

Hinweis:
  • Hier ist die Datei.combo.pem das Zertifikat mit dem privaten Schlüssel darin und die Reihenfolge sollte auch stimmen. Die Datei kann zur Validierung einfach in einem Texteditor geöffnet werden.
  • Importieren Sie die PEM-Datei direkt in NGFW die Datei und aktivieren Sie das Kontrollkästchen Privaten Schlüssel importieren.
  • Wählen Sie keine Datei aus, da sich der Schlüssel bereits in der PEM-Datei befindet. Geben Sie die Passphrase ein und importieren Sie sie.
  • Jetzt sollte das Zertifikat während des Commit-Prozesses keine Fehler verursachen.



 

Additional Information


Dies ist kein Problem mit dem Palo Alto Firewall, sondern das Problem mit dem Zertifikat selbst.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HCI3CAO&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language