理由のある証明書エラー: 信頼されていない発行者ですが、発行者はよく知られていますCA証明書。
56641
Created On 10/12/22 05:49 AM - Last Modified 04/02/25 13:52 PM
Symptom
- とSSL復号化が有効になっている場合、Web サイトにアクセスしようとすると、ブロックされたページが表示されます理由: 発行者が信頼されていません。
このスナップショットでは、発行者はよく知られている一般人です。CA : DigiCert SHA2 拡張検証サーバーCAそれでも私たちは見る理由: 信頼できない発行者.
- 復号化プロファイルは次のように構成されています信頼できない発行者とのセッションをブロックする
- ウェブサイトに不完全なチェーンの問題があります。 から確認できます。 SSLラボ
- パケット キャプチャでは、Web サイトはサーバー証明書のみを送信しています (中間/ルート証明書なし)。
- それなしfirewall中間または復号化が無効になっている場合、サイトは問題なく読み込まれます。
Environment
- パロアルト ファイアウォール
- 対応 PAN-OS
- 復号化が有効です。
Cause
- Web サイトが証明書の完全なチェーンを送信していません。適切なチェーン/中間証明書なしでサーバー証明書のみを使用するように構成されています。
- 中間をフェッチするのに十分なコンピューティングがあるため、ブラウザーでは問題は発生しません。CA Web サイトが完全なチェーンを提供していない場合。
Resolution
この問題は、次のいずれかの解決策で解決できます。
- Web サイトの証明書チェーンの問題を修正します (必要に応じて、Web サイトの所有者に連絡してください)。
- 以下の中間証明書を手動でインポートします。セットアップ --> 証明書管理 --> 証明書 --> デバイス証明書そしてそれをマークしてください」信頼されたルートCA"
- 」のチェックを外す信頼できない発行者とのセッションをブロックする" 復号化プロファイルで。
Additional Information
- なぜ有名な大衆はCAに存在しない証明書セットアップ --> 証明書の管理 --> 証明書 --> デフォルトの信頼できる認証局
PanOS ファイアウォールは、中間証明書のリポジトリを維持しません。 パブリック ルート CA のリポジトリを "デフォルトの信頼できる認証局「中間体を追跡/監視することは非常に難しいためCAはグローバルです。
- できない理由PA-FWブラウザのように中間証明書を取得しますか?
PanOS ファイアウォールは、中間証明書をフェッチできません。これは、クライアント接続をバッファリングしている間は計算が難しいためです。SSL復号化。