证书错误的原因:不受信任的颁发者,尽管颁发者是众所周知的公众CA证书。
56631
Created On 10/12/22 05:49 AM - Last Modified 04/02/25 13:52 PM
Symptom
- 和SSL启用解密,当尝试访问网站时,被阻止的页面原因:不受信任的发行者。
在此快照中,发行人是知名公众CA: DigiCert SHA2 扩展验证服务器CA但我们仍然看到原因:不受信任的发行人.
- 解密配置文件配置为阻止与不受信任的发行者的会话
- 网站有不完整的链问题。 这可以从SSL实验室
- 在数据包捕获中,网站仅发送服务器证书(没有中间/根证书)。
- 没有firewall在两者之间或禁用解密,网站加载没有问题。
Environment
- 帕洛阿尔托防火墙
- 支持的 PAN-OS
- 解密已启用。
Cause
- 网站未发送完整的证书链;它被配置为仅在没有适当的链/中间证书的情况下使用服务器证书。
- 该问题不会在浏览器上发生,因为它们有足够的计算能力来获取中间值CA如果一个网站不提供完整的链。
Resolution
可以通过以下任一解决方案解决问题:
- 修复网站上的证书链问题(如果需要,请联系网站所有者)
- 手动导入中间证书下设置-->证书管理-->证书-->设备证书并标记它“可信根CA“
- 取消选中“阻止与不受信任的发行者的会话“在解密配置文件中。
Additional Information
- 为何广为人知CA证书不存在于设置-->证书管理-->证书-->默认受信任的证书颁发机构
PanOS 防火墙不维护中间证书的存储库。 它仅在“下维护公共根 CA 的存储库默认受信任的证书颁发机构“因为跟踪/监控中间件非常困难CA在全球范围内。
- 为什么不能PA-FW像浏览器一样获取中间证书?
PanOS 防火墙无法获取中间证书,因为在缓冲客户端连接时这样做在计算上很困难SSL解密。