Advertencia de confirmación: la cadena de certificados no se forma correctamente en el certificado

Advertencia de confirmación: la cadena de certificados no se forma correctamente en el certificado

44960
Created On 01/13/21 09:05 AM - Last Modified 05/15/23 09:36 AM


Symptom


  • El certificado es un CA certificado generado fuera del firewall con clave privada no almacenada en Palo Alto NGFW.
  • El certificado está en formato y la importación con frase de contraseña se realiza correctamente, pero cada confirmación da un mensaje de advertencia sobre la cadena de certificados después de habilitar la confianza directa en PFX el certificado.
  • A El fragmento de registro de MS.log (menos MP-LOG MS.log) muestra lo siguiente
Warning: pan_fill_ca(pan_config_parser_net.c:9144): certificate chain not correctly formed in certificate FWTrust

 

Environment


  • Palo Alto Firewall
  • Apoyado PAN-OS
  • Certificados
  • CSR no se generó el firewall.
Nota: CSR = Solicitud de firma de certificado

Cause


Aquí, el paquete de certificados importado tiene certificados en secuencia incorrecta y, por lo tanto, se genera el error de cadena.
Normalmente, el orden correcto de los certificados en un paquete es el siguiente.
  1. Certificado de usuario final: emitido para: example.com; Emitido por: IntermediateCert1
  2. Certificado Intermedio 1 - Expedido a: IntermediateCert1; Emitido por: IntermediateCert2
  3. Certificado Intermedio 2 - Expedido a: IntermediateCert2; Emitido por: Certificado raíz
  4. Certificado raíz: emitido y emitido por: certificado raíz.

Resolution


Para solucionar el problema, solicite al proveedor del certificado que proporcione el certificado con la secuencia correcta. También se puede arreglar modificando el certificado usando openssl. 
 
  1. Obtenga el certificado en un archivo .PFX Formato de archivo
  2. Convertir.PFX archivo a un archivo .PEM y hacer una copia para su custodia.
  3. Abra el archivo . Pem en un editor de texto.
  4. Mueva los certificados en la secuencia correcta como se mencionó anteriormente.
  5. Importe el archivo .PEM archivo combinado a firewall con clave privada.
openssl pkcs12 -in cert.pfx -out file.nokey.pem -nokeys
openssl pkcs12 -in cert.pfx -out file.withkey.pem
openssl rsa -in file.withkey.pem -out file.key
cat file.nokey.pem file.key > file.combo.pem

Nota:
  • Aquí el file.combo.pem es el certificado con la clave privada en él y la secuencia también debe ser correcta. El archivo se puede abrir fácilmente en un editor de texto para validar.
  • Importe el archivo .pem directamente y NGFW seleccione la casilla de verificación importar la clave privada.
  • No seleccione un archivo porque la clave ya está en el archivo .pem. Proporcione la frase de contraseña e importe.
  • Ahora, el certificado no debe causar ningún error durante el proceso de confirmación.



 

Additional Information


Esto no es un problema con el Palo Alto Firewall, sino el problema con el certificado en sí.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HCI3CAO&lang=es%E2%80%A9&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language