次の場合、特定のサイトへのアクセスが証明書エラーで失敗するSSLフォワード プロキシが有効になっている

• ユーザーのトラフィックはSSLによる復号化SSLフォワード プロキシ。
• A トラフィックが影響を受ける場合、特定のサイトにアクセスできませんSSL復号化し、ブラウザに次のエラーが表示されます。

• 復号化ログに次のエラー ログが表示されます。

• Prisma Access Mobile Users
• Prisma Access Remote Networks
• Palo Alto Strata 次世代firewall(NGFW ) PanOS 10.0 以降を実行している

• これは無効なルートが原因で発生しますCAまたは中間CA問題のサイトから提供された証明書。
• のSSLフォワード プロキシにはSSL「信頼されていない発行者とのセッションをブロックする」がチェックされている関連付けられた復号化プロファイル。
• このオプションは、SSL転送プロキシを使用して、問題が信頼できるかどうかを確認します。
• 発行者が信頼されていない場合CAリストまたは信頼できるCAが指定されていない場合、アクセスはブロックされます。
• なしで別のクライアントからサイトにアクセスした場合SSL検査、サーバーから提供された証明書を確認できます。
• このサイトの場合、ルートはありませんでしたCAサーバーによって提供されます。

1. これは問題ではありませんPrisma AccessまたはパロアルトNGFW.
2. サイト管理者に連絡して、サーバーの問題を修正し、有効なCA証明書。
3. とにかくサイトが信頼されている場合は、2 つのオプションが利用可能です。
4. カスタムを作成するURLこのサイトのみのカテゴリに分類し、バイパスしますSSLフォワード プロキシ。
5. または、カスタムを作成しますURLこのサイトのみのカテゴリと別のカテゴリSSL「信頼されていない発行者とのセッションをブロックする」を持つ復号化プロファイル未チェック.

技術的な理由でサーバーを復号化から除外する

• 詳細については、サイトがアクセスされたときにクライアント マシンでパケット キャプチャを実行します。SSLフォワードプロキシとSSLフォワード プロキシ。
• のないキャプチャSSLフォワード プロキシは、サーバーから返された内容を検証するために、サーバーの hello と返された証明書を表示します。