El syslog sobre TLS falla en el protocolo de enlace TLS con el error "Rutinas SSL :SSL3_READ_BYTES:tlsv1 alerta ca desconocida"
9438
Created On 04/11/23 08:56 AM - Last Modified 01/03/25 07:31 AM
Symptom
- Firewall configurado para enviar mensajes Syslog vía TLS.
- Los registros del sistema informan el mensaje de error " Error de SSL de Syslog al escribir la secuencia; tls_error='Rutinas SSL :SSL3_READ_BYTES:tlsv1 alerta desconocida ca'.location='/opt/pancfg/mgmt/syslogng/pan_sysng.cfg:59:3?? .
- El mensaje de registro también se puede observar en la GUI web, Monitor > Registros > Sistema .
Environment
- Cortafuegos de Palo Alto
- Sistema operativo Pan-OS: 10.1.9
- Registro del sistema mediante TLS
Cause
- Si un servidor Syslog requiere un certificado de cliente y el certificado de cliente recibido está firmado por una CA desconocida, el servidor Syslog envía una alerta de error fatal con "CA desconocida".
- Esto significa que el servidor Syslog no tiene el certificado CA para el certificado de cliente enviado por Firewall.
- El error de CA desconocida también se puede ver en la packet capture (captura de paquetes - pcap).
- Dirección IP del servidor Syslog: 10.137.102.173
- Dirección IP de administración de FW: 10.137.102.178
Resolution
- Importe el certificado de CA que firmó el certificado del cliente en el firewall del servidor Syslog. O
- Cambie el certificado del cliente en el Firewall por el del servidor Syslog que está firmado por el certificado CA