Les notifications Slack (hooks.slack.com) échouent avec les journaux système signalant « Raison : le certificat a expiré »

Les notifications Slack (hooks.slack.com) échouent avec les journaux système signalant « Raison : le certificat a expiré »

2110
Created On 03/27/23 07:32 AM - Last Modified 09/04/25 02:40 AM


Symptom


  • Panorama ou pare-feu configuré pour transférer les journaux vers l’application Slack « hooks.slack.com » via un profil HTTP.
image.png
  • Interface graphique : Paramètre de journal > de périphériques utilise le profil HTTP ci-dessus pour envoyer des journaux, journal système par exemple :
image.png
  • Les journaux système affichent des erreurs : échec de la validation du certificat du serveur HTTP. Hôte : X.X.X.X, CN : slack.com, Raison : le certificat a expiré.

Environment


  • Pare-feu ou panorama de Palo Alto
  • PANOS 9.1.x et 10.1.x
Note: Le problème ne se trouve pas dans PAN-OS 10.2.X et versions ultérieures.

Cause


  • Le point de terminaison Slack envoie hooks.slack.com une chaîne de certificats, y compris un certificat X3 expiré.
  • PANOS 9.1.x et 10.1.x utilisent ce certificat expiré comme certificat racine.

Resolution


  1. Mettez à niveau le système d’exploitation PAN-OS vers la version 10.2.x ou ultérieure.
  2. Utilisez une solution de contournement basée sur le déchiffrement SSL (applicable uniquement sur les pare-feu) comme indiqué dans la section supplémentaire.

Additional Information


Solution : En utilisant le déchiffrement SSL, la solution de contournement suivante peut être mise en œuvre, mais uniquement sur un pare-feu :

  1. Créez un certificat d’approbation CA Forward et un certificat d’approbation CA Forward Untrust (en supposant que le déchiffrement SSL n’est pas utilisé). Si le décryptage SSL est déjà configuré, veuillez ignorer le point
  2. Configurez une route de service pour HTTP avec une interface dans une zone qui sera spécifiée dans une stratégie de déchiffrement en tant que source. Dans l’exemple, une route de service a été créée pour utiliser l’interface loopback.1 :
Configuration de l’itinéraire de service :
image.png
configuration loopback.1 - configurée dans une zone INSIDE
image.png
  1. Ajoutez une stratégie de déchiffrement, tapez SSL Forward Proxy. Spécifiez autant de paramètres granulaires que nécessaire. Dans une version plus simple, seules les zones suffisent.Assurez-vous qu’il n’affecte pas la configuration existante, idéalement en effectuant d’abord des tests dans un environnement hors production.
image.png
  1. Vérifiez si la configuration NAT et la stratégie de sécurité existantes autorisent le trafic.
  2. En implémentant les étapes ci-dessus, une chaîne de certificats est modifiée, aucun certificat X3 problématique n’est plus vu dans le message de certificat TLS.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kHWMCA2&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language