访问特定站点失败并出现证书错误时SSL转发代理已启用
21909
Created On 05/04/22 09:16 AM - Last Modified 01/31/23 01:51 AM
Symptom
- 用户流量受制于SSL解密SSL转发代理。
- A 特定站点在流量受限时无法访问SSL解密,浏览器显示如下错误。
- 解密日志中显示如下错误日志
Environment
- Prisma Access Mobile Users
- Prisma Access Remote Networks
- Palo Alto Strata 下一代firewall(NGFW ) 运行 PanOS 10.0 或以上
Cause
- 这是由于无效的根引起的CA或中间CA相关网站提供的证书。
- 这SSL转发代理有一个SSL关联的解密配置文件已选中“阻止与不受信任的发行者的会话”。
- 该选项将导致SSL转发代理以检查问题是否可信。
- 如果发行人不受信任CA名单或受信任的CA未提供,访问将被阻止。
- 如果从另一个客户端访问该站点而没有SSL检查,可以检查服务器提供的证书。
- 对于这个网站,没有根CA由服务器提供。
Resolution
- 这不是问题Prisma Access或帕洛阿尔托NGFW.
- 联系站点管理员并请求他们解决服务器问题并提供有效的CA证书。
- 如果该站点无论如何都受信任,则有 2 个选项可用。
- 创建自定义URL仅适用于此站点的类别并将其从SSL转发代理。
- 或者,创建自定义URL仅此站点和另一个站点的类别SSL具有“阻止与不受信任的发行者的会话”的解密配置文件未经检查.
出于技术原因从解密中排除服务器
Additional Information
- 有关更多详细信息,请在没有访问站点时在客户端计算机上执行数据包捕获SSL转发代理和SSL转发代理。
- 没有的捕获SSL转发代理将显示服务器问候和返回的证书以验证从服务器返回的内容。