L’accès à un site spécifique échoue avec une erreur de certificat lorsque SSL le proxy de transfert est activé

L’accès à un site spécifique échoue avec une erreur de certificat lorsque SSL le proxy de transfert est activé

21901
Created On 05/04/22 09:16 AM - Last Modified 01/31/23 01:46 AM


Symptom


  • Le trafic de l'utilisateur est sujet à déchiffrement SSL par SSL proxy de transfert.
  • A Un site spécifique est inaccessible lorsque le trafic est sujet à décryptage et que le navigateur s’affiche suite à SSL une erreur.
Erreur_navigateur
  • Les journaux d’erreurs suivants sont affichés dans les journaux de déchiffrementJournal de déchiffrement montrant non fiable CA
 
 

Environment


  • Prisma Access Mobile Users
  • Prisma Access Remote Networks
  • Palo Alto Strata nouvelle génération firewall (NGFW) exécutant PanOS 10.0 ou supérieur

Cause


  • Cela est dû à un certificat racine CA ou intermédiaire CA non valide fourni par le site en question.
  • Le SSL proxy de transfert a un SSL profil de déchiffrement associé qui a « Bloquer les sessions avec des émetteurs non approuvés » coché.
  • Cette option permet au SSL proxy de transfert de vérifier si le problème est fiable ou non.
  • Si l’émetteur ne figure pas dans la liste de confiance CA ou si l’entité approuvée CA n’est pas fournie, l’accès sera bloqué.
  • Si le site est accessible à partir d’un autre client sans SSL inspection, le certificat fourni par le serveur peut être vérifié.
  • Pour ce site, il n’y avait pas de racine CA fournie par le serveur.La racine CA n’est pas fournie par ce site.
 

Resolution


  1. Ce n’est pas un problème avec le ou le Prisma Access Palo Alto NGFW.
  2. Contactez l’administrateur du site et demandez-lui de résoudre le problème du serveur et de fournir un certificat valide CA .
  3. Si le site est de confiance de toute façon, il y a 2 options disponibles.
  4. Créez une catégorie personnalisée URL pour ce site uniquement et contournez-la du SSL proxy direct.
  5. Vous pouvez également créer une catégorie personnalisée URL pour ce site uniquement et un autre SSL profil de déchiffrement avec l’option « Bloquer les sessions avec des émetteurs non approuvés » décochée.

Exclure un serveur du déchiffrement pour des raisons techniques

Additional Information


  • Pour plus d’informations, consultez Effectuer une capture de paquets sur l’ordinateur client lorsque le site est accessible sans SSL proxy de transfert et avec SSL proxy de transfert.
  • Les captures sans proxy SSL de transfert afficheraient le serveur bonjour et le certificat renvoyé pour valider ce qui est renvoyé par le serveur.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000LCkoCAG&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language