Slack通知(hooks.slack.com)が失敗し、システムログで「理由:証明書の有効期限が切れました」と報告される
2110
Created On 03/27/23 07:32 AM - Last Modified 09/04/25 02:40 AM
Symptom
- HTTPプロファイルを介してSlackの「hooks.slack.com」アプリにログを転送するように設定されたパノラマまたはファイアウォール。
- GUI: デバイス>ログ設定上記のHTTPプロファイルを使用して、ログ(システムログなど)を送信します。
- システムログに「HTTP server certificate validation failed」 というエラーが表示されます。 ホスト:X.X.X.X、CN:slack.com、理由:証明書の有効期限が切れています。
Environment
- Palo Alto FirewallまたはPanorama
- PANOS 9.1.xおよび10.1.x
Cause
- Slack エンドポイント hooks.slack.com は、期限切れの X3 証明書を含む証明書チェーンを送信します。
- PANOS 9.1.x および 10.1.x は、この期限切れの証明書をルート証明書として使用します。
Resolution
- PAN-OS を 10.2.x 以降にアップグレードします。
- 追加のセクションに記載されているように、SSL復号化ベースの回避策(ファイアウォールにのみ適用可能)を使用します。
Additional Information
回避策 :
SSL 復号化を使用すると、次の回避策が実装される可能性がありますが、ファイアウォールでのみ実装されます。
- CA Forward Trust Certificate と CA Forward Untrust Certificate を作成します(SSL 復号化が使用されていないことを前提としています)。 SSL復号化がすでに設定されている場合は、ポイントをスキップしてください
- ソースとして復号化ポリシーでさらに指定されるゾーン内のインターフェイスを使用して、HTTPのサービスルートを設定します。 この例では、loopback.1 インターフェイスを使用するためのサービス ルートが作成されています。
サービスルートの設定:
loopback.1 設定:ゾーン INSIDE で設定
- 復号化ポリシーを追加し、「SSL フォワード プロキシ」と入力します。 必要な数だけ詳細な設定を指定します。 最も単純なバージョンでは、ゾーンだけで十分です。理想的には、最初に 非運用環境でテストすることにより、既存の構成に影響を与えないことを確認してください。
- 既存のNAT設定とセキュリティポリシーでトラフィックが許可されているかどうかを確認します。
- 上記の手順を実装することで、証明書チェーンが変更され、TLS証明書メッセージに問題のあるX3証明書が表示されなくなります。