L’accès à un site spécifique échoue avec une erreur de certificat lorsque SSL le proxy de transfert est activé
21901
Created On 05/04/22 09:16 AM - Last Modified 01/31/23 01:46 AM
Symptom
- Le trafic de l'utilisateur est sujet à déchiffrement SSL par SSL proxy de transfert.
- A Un site spécifique est inaccessible lorsque le trafic est sujet à décryptage et que le navigateur s’affiche suite à SSL une erreur.
- Les journaux d’erreurs suivants sont affichés dans les journaux de déchiffrement
Environment
- Prisma Access Mobile Users
- Prisma Access Remote Networks
- Palo Alto Strata nouvelle génération firewall (NGFW) exécutant PanOS 10.0 ou supérieur
Cause
- Cela est dû à un certificat racine CA ou intermédiaire CA non valide fourni par le site en question.
- Le SSL proxy de transfert a un SSL profil de déchiffrement associé qui a « Bloquer les sessions avec des émetteurs non approuvés » coché.
- Cette option permet au SSL proxy de transfert de vérifier si le problème est fiable ou non.
- Si l’émetteur ne figure pas dans la liste de confiance CA ou si l’entité approuvée CA n’est pas fournie, l’accès sera bloqué.
- Si le site est accessible à partir d’un autre client sans SSL inspection, le certificat fourni par le serveur peut être vérifié.
- Pour ce site, il n’y avait pas de racine CA fournie par le serveur.
Resolution
- Ce n’est pas un problème avec le ou le Prisma Access Palo Alto NGFW.
- Contactez l’administrateur du site et demandez-lui de résoudre le problème du serveur et de fournir un certificat valide CA .
- Si le site est de confiance de toute façon, il y a 2 options disponibles.
- Créez une catégorie personnalisée URL pour ce site uniquement et contournez-la du SSL proxy direct.
- Vous pouvez également créer une catégorie personnalisée URL pour ce site uniquement et un autre SSL profil de déchiffrement avec l’option « Bloquer les sessions avec des émetteurs non approuvés » décochée.
Exclure un serveur du déchiffrement pour des raisons techniques
Additional Information
- Pour plus d’informations, consultez Effectuer une capture de paquets sur l’ordinateur client lorsque le site est accessible sans SSL proxy de transfert et avec SSL proxy de transfert.
- Les captures sans proxy SSL de transfert afficheraient le serveur bonjour et le certificat renvoyé pour valider ce qui est renvoyé par le serveur.