Slack-Benachrichtigungen (hooks.slack.com) schlagen fehl, wenn in den Systemprotokollen "Grund: Zertifikat abgelaufen" gemeldet wird

Slack-Benachrichtigungen (hooks.slack.com) schlagen fehl, wenn in den Systemprotokollen "Grund: Zertifikat abgelaufen" gemeldet wird

2110
Created On 03/27/23 07:32 AM - Last Modified 09/04/25 02:40 AM


Symptom


  • Panorama oder Firewall, die so konfiguriert ist, dass Protokolle über das HTTP-Profil an die Slack-App "hooks.slack.com" weitergeleitet werden.
Bild.png
  • GUI: Geräte- > Protokolleinstellungs verwenden das obige HTTP-Profil zum Senden von Protokollen, z. B. Systemprotokoll:
Bild.png
  • In den Systemprotokollen werden folgende Fehler angezeigt: Fehler bei der Überprüfung des HTTP-Serverzertifikats. Host: X.X.X.X, CN: slack.com, Grund: Zertifikat ist abgelaufen.

Environment


  • Palo Alto Firewall oder Panorama
  • PANOS 9.1.x und 10.1.x
Anmerkung: Das Problem tritt in PAN-OS 10.2.X und höher nicht auf.

Cause


  • Der Slack-Endpunkt hooks.slack.com sendet eine Zertifikatskette mit einem abgelaufenen X3-Zertifikat.
  • PANOS 9.1.x und 10.1.x verwenden dieses abgelaufene Zertifikat als Root-Zertifikat.

Resolution


  1. Aktualisieren Sie das PAN-OS auf 10.2.x oder höher.
  2. Verwenden Sie eine auf SSL-Entschlüsselung basierende Problemumgehung (gilt nur für Firewalls), wie im zusätzlichen Abschnitt beschrieben.

Additional Information


Problemumgehung: Durch die Verwendung der SSL-Entschlüsselung kann die folgende Problemumgehung implementiert werden, jedoch nur auf einer Firewall:

  1. Erstellen Sie ein vertrauenswürdiges CA-Forward-Zertifikat und ein nicht vertrauenswürdiges CA-Forward-Zertifikat (vorausgesetzt, die SSL-Entschlüsselung wird nicht verwendet). Wenn die SSL-Entschlüsselung bereits konfiguriert ist, überspringen Sie bitte den Punkt
  2. Konfigurieren Sie eine Dienstroute für HTTP mit einer Schnittstelle in einer Zone, die in einer Entschlüsselungsrichtlinie als Quelle weiter angegeben wird. Im Beispiel wurde eine Dienstroute erstellt, um die loopback.1-Schnittstelle zu verwenden:
Konfiguration der Dienstroute:
Bild.png
loopback.1 Konfiguration - konfiguriert in einer Zone INSIDE
Bild.png
  1. Fügen Sie eine Entschlüsselungsrichtlinie hinzu, und geben Sie SSL Forward Proxy ein. Geben Sie so viele granulare Einstellungen wie nötig an. In einer einfachsten Version reichen nur Zonen aus.Stellen Sie sicher, dass die vorhandene Konfiguration nicht beeinträchtigt wird, idealerweise indem Sie zuerst in einer Nicht-Produktionsumgebung testen.
Bild.png
  1. Überprüfen Sie, ob die vorhandene NAT-Einrichtung und die Sicherheitsrichtlinie Datenverkehr zulassen.
  2. Durch die Implementierung der obigen Schritte wird eine Zertifikatskette geändert, so dass kein problematisches X3-Zertifikat mehr in der TLS-Zertifikatsmeldung angezeigt wird.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kHWMCA2&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language