Der Zugriff auf eine bestimmte Site schlägt mit Zertifikatfehler fehl, wenn SSL der Weiterleitungsproxy aktiviert ist

Der Zugriff auf eine bestimmte Site schlägt mit Zertifikatfehler fehl, wenn SSL der Weiterleitungsproxy aktiviert ist

21907
Created On 05/04/22 09:16 AM - Last Modified 01/31/23 01:51 AM


Symptom


  • Der Datenverkehr des Benutzers unterliegt der SSL Entschlüsselung durch SSL einen Forward-Proxy.
  • A Auf eine bestimmte Website kann nicht zugegriffen werden, wenn der Datenverkehr entschlüsselt wird SSL und der Browser den folgenden Fehler anzeigt.
Browser-Fehler
  • Die folgenden Fehlerprotokolle werden in den Entschlüsselungsprotokollen angezeigtEntschlüsselungsprotokoll zeigt nicht vertrauenswürdig an CA
 
 

Environment


  • Prisma Access Mobile Users
  • Prisma Access Remote Networks
  • Palo Alto Strata next generation firewall (NGFW) mit PanOS 10.0 oder höher

Cause


  • Dies wird durch ein ungültiges Stamm CA - oder Zwischenzertifikat CA verursacht, das von der betreffenden Website bereitgestellt wird.
  • Dem SSL Forward-Proxy ist ein SSL Entschlüsselungsprofil zugeordnet, für das die Option "Sitzungen mit nicht vertrauenswürdigen Ausstellern blockieren" aktiviert ist.
  • Diese Option bewirkt, dass der SSL Forward-Proxy überprüft, ob das Problem vertrauenswürdig ist oder nicht.
  • Wenn der Aussteller nicht in der vertrauenswürdigen CA Liste ist oder der vertrauenswürdige CA nicht angegeben wird, wird der Zugriff gesperrt.
  • Wenn der Zugriff von einem anderen Client ohne SSL Inspektion auf die Site erfolgt, kann das vom Server bereitgestellte Zertifikat überprüft werden.
  • Für diese Site gab es kein Root, CA das vom Server bereitgestellt wurde.Die Wurzel CA wird nicht von dieser Site bereitgestellt.
 

Resolution


  1. Dies ist kein Problem mit dem oder dem Prisma Access Palo Alto NGFW.
  2. Wenden Sie sich an den Site-Administrator, und bitten Sie ihn, das Serverproblem zu beheben und ein gültiges CA Zertifikat bereitzustellen.
  3. Wenn die Website trotzdem vertrauenswürdig ist, stehen 2 Optionen zur Verfügung.
  4. Erstellen Sie eine benutzerdefinierte URL Kategorie nur für diese Website, und umgehen Sie sie vom SSL Forwardproxy.
  5. Alternativ können Sie eine benutzerdefinierte URL Kategorie nur für diese Website erstellen und ein anderes SSL Entschlüsselungsprofil erstellen, bei dem die Option "Sitzungen mit nicht vertrauenswürdigen Ausstellern blockieren" deaktiviert ist.

Einen Server aus technischen Gründen von der Entschlüsselung ausschließen

Additional Information


  • Weitere Informationen finden Sie unter Ausführen einer Paketerfassung auf dem Clientcomputer, wenn auf die Site ohne SSL Forwardproxy und mit SSL Forwardproxy zugegriffen wird.
  • Die Erfassungen ohne den SSL Forwardproxy würden die Server-Hallo-Adresse und das zurückgegebene Zertifikat anzeigen, um zu überprüfen, was vom Server zurückgegeben wird.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000LCkoCAG&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language