Avertissement de validation : la chaîne de certificats n’est pas correctement formée dans le certificat

Avertissement de validation : la chaîne de certificats n’est pas correctement formée dans le certificat

45235
Created On 01/13/21 09:05 AM - Last Modified 05/15/23 09:36 AM


Symptom


  • Le certificat est un CA certificat généré en dehors du avec une firewall clé privée non stockée sur le Palo Alto NGFW.
  • Le certificat est au PFX format et l’importation avec phrase secrète réussit, mais chaque commit envoie un message d’avertissement sur la chaîne de certificats après avoir activé l’approbation directe sur le certificat.
  • A L’extrait de journal de MS.log (moins MP-log MS.log) affiche ce qui suit
Warning: pan_fill_ca(pan_config_parser_net.c:9144): certificate chain not correctly formed in certificate FWTrust

 

Environment


  • Palo Alto (Palo Alto) Firewall
  • Soutenu PAN-OS
  • Certificats
  • CSR n’a pas été généré le firewall.
Note: CSR = Demande de signature de certificat

Cause


Ici, le paquet de certificats importé a des certificats dans un ordre incorrect et donc l’erreur de chaîne est générée.
En règle générale, l’ordre correct des certificats dans un bundle est le suivant.
  1. Certificat d’utilisateur final - délivré à : example.com; Délivré par : IntermediateCert1
  2. Certificat intermédiaire 1 - délivré à: IntermediateCert1; Délivré par : IntermediateCert2
  3. Certificat intermédiaire 2 - délivré à : IntermediateCert2; Délivré par : Certificat racine
  4. Certificat racine - Émis à et émis par : Certificat racine.

Resolution


Pour résoudre le problème, demandez au fournisseur du certificat de fournir au certificat l’ordre correct. Il peut également être corrigé en modifiant le certificat à l’aide d’openssl. 
 
  1. Obtenez le certificat dans un fichier .PFX Format de fichier
  2. Convertir.PFX à un fichier .PEM et faire une copie pour la garde.
  3. Ouvrez le fichier . Pem dans un éditeur de texte.
  4. Déplacez les certificats dans l’ordre correct comme mentionné ci-dessus.
  5. Importez le fichier .PEM fichier combiné à firewall avec clé privée.
openssl pkcs12 -in cert.pfx -out file.nokey.pem -nokeys
openssl pkcs12 -in cert.pfx -out file.withkey.pem
openssl rsa -in file.withkey.pem -out file.key
cat file.nokey.pem file.key > file.combo.pem

Remarque :
  • Ici, file.combo.pem est le certificat contenant la clé privée et la séquence doit également être correcte. Le fichier peut être facilement ouvert dans un éditeur de texte pour valider.
  • Importez le fichier .pem directement dans NGFW et cochez la case Importer la clé privée.
  • Ne sélectionnez pas de fichier car la clé est déjà dans le fichier .pem. Fournissez la phrase secrète et importez.
  • Maintenant, le certificat ne doit pas provoquer d’erreurs pendant le processus de validation.



 

Additional Information


Ce n’est pas un problème avec le Palo Alto Firewall, mais le problème avec le certificat lui-même.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HCI3CAO&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language