Se produce un error en el acceso a un sitio específico con un error de certificado cuando SSL el proxy de reenvío está habilitado

Se produce un error en el acceso a un sitio específico con un error de certificado cuando SSL el proxy de reenvío está habilitado

21897
Created On 05/04/22 09:16 AM - Last Modified 01/31/23 01:46 AM


Symptom


  • El tráfico del usuario está sujeto a SSL descifrado por SSL proxy de reenvío.
  • A El sitio específico es inaccesible cuando el tráfico está sujeto a SSL descifrado y el navegador muestra el siguiente error.
Error del navegador
  • Los siguientes registros de errores se muestran en los registros de descifradoRegistro de descifrado que muestra que no es de confianza CA
 
 

Environment


  • Prisma Access Mobile Users
  • Prisma Access Remote Networks
  • Palo Alto Strata de próxima generación firewall (NGFW) con PanOS 10.0 o superior

Cause


  • Esto se debe a un certificado raíz CA o intermedio CA no válido suministrado por el sitio en cuestión.
  • El SSL proxy de reenvío tiene un SSL perfil de descifrado asociado que tiene marcado "Bloquear sesiones con emisores que no son de confianza".
  • Esta opción hará que el proxy de reenvío compruebe si el SSL problema es de confianza o no.
  • Si el emisor no está en la lista de confianza o no se proporciona la de confianza CA CA , se bloqueará el acceso.
  • Si se accede al sitio desde otro cliente sin SSL inspección, se puede comprobar el certificado proporcionado por el servidor.
  • Para este sitio, no había ninguna raíz CA suministrada por el servidor.La raíz CA no es suministrada por este sitio.
 

Resolution


  1. Esto no es un problema con el o el Prisma Access Palo Alto NGFW.
  2. Póngase en contacto con el administrador del sitio y pídale que solucione el problema del servidor y proporcione un certificado válido CA .
  3. Si el sitio es confiable de todos modos, hay 2 opciones disponibles.
  4. Cree una categoría personalizada URL solo para este sitio y omitirla desde el proxy de SSL reenvío.
  5. Como alternativa, cree una categoría personalizada URL solo para este sitio y otro SSL perfil de descifrado con la opción "Bloquear sesiones con emisores que no son de confianza" sin marcar.

Excluir un servidor del descifrado por razones técnicas

Additional Information


  • Para obtener más información, realice una captura de paquetes en el equipo cliente cuando se accede al sitio sin SSL proxy de reenvío y con SSL proxy de reenvío.
  • Las capturas sin el proxy de reenvío mostrarían el saludo del servidor y el certificado devuelto para validar lo que se devuelve desde el SSL servidor.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000LCkoCAG&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language