服务器证书验证是否支持交叉签名的证书？

• SSL 在帕洛阿尔托网络上配置的前方代理 firewall （ GUI ： >解密的政策）
• 解密配置文件 （ GUI ： 解密>对象>解密配置文件）
• 在解密配置文件中，为"具有过期证书的阻止会话"启用了该选项：

• 所有 PAN-OS
• 帕洛阿尔托 Firewall

握手期间 TLS ，一些 https 服务器会发送整个证书链，包括过期的根 CA 。 大多数现代浏览器将建立一个有效的交叉签名根的"信任链 CA "，如果一个是可用的。 因此，这些浏览器不会显示任何证书警告。

帕洛阿尔托网络的防火墙要求服务器提供一个适当的，完整的证书链。 如果应用程序提供不完整的证书链或证书过期的链，防火墙将验证链中显示的每个证书并计算结果。 在这里， firewall 会认为该网站是不信任的，因为 CA 服务器提出的根已经过期。

Palo Alto 网络将配置解密配置文件来阻止带有过期证书的会话， firewall 并在收到证书链中的上述过期证书后向最终用户展示证书错误块页面 CA 。

解决方案可在上述版本中找到 PAN-OS 。

有关 交叉签名证书增强功能的其他信息，请参阅此 LIVE 社区帖子。