Die Systemprotokolle melden „Überprüfung des Authentifizierungsserver- Zertifikat fehlgeschlagen“ und „Fehler beim Entschlüsseln der Signatur “.

• Die Firewall-Authentifizierung wird über einen externen Radius-Server konfiguriert.
• Das extern signierte Zertifikat des Radius-Servers wird in die Firewall importiert.
• Systemprotokolle ( show log system ) und Authd-Protokolle ( less mp-log authd.log ) melden Fehlermeldungen zur Authentifizierung mit Fehlern.

  Systemprotokolle:

  08:37 mittlerer Authentifizierungsradius auth-fa Authentifizierung für Benutzer „XXXXX“ fehlgeschlagen. Grund: Überprüfung des Zertifikat fehlgeschlagen . Profil „radius-auth“, vsys „shared“, Profil „admin-auth_ise“, Serveradresse „10.XXX“, Authentifizierungsprotokoll „PEAP-MSCHAPv2“, Antwortnachricht „Signatur ; Entschlüsselungsfehler “ Von: 10.XXX

  Authentifizierungsprotokolle:

  55:40.592 +0000 Fehler: EapolStatusCb(pan_auth_eapol.c:997): (AId:7084147726929100899) Zertifikatsfehler (Fehler bei der Zertifikat ) 55:40.592 +0000 Fehler: EapolStatusCb(pan_auth_eapol.c:997): (AId:7084147726929100899) Zertifikatsfehler (Entschlüsselungsfehler) .

  
  

• Palo Alto-Firewalls
• PAN-OS 8.1 und höher
• Zertifikate

In der Firewall (Root oder Intermediate) installiertes externes signiertes Zertifikat mit einem öffentlichen RSA-Schlüssel, der größer als 8192 Bit ist.

1. Stellen Sie sicher, dass das auf der Firewall installierte externe Zertifikat nicht größer als 8192 Bit (Bit) RSA-Schlüssel ist.
2. Die Firewall kann Zertifikate mit bis zu 8192- Bit (Bit) -RSA-Schlüsseln vom Destination authentifizieren, das selbst generierte Zertifikat der PA Firewall für den Client unterstützt jedoch nur bis zu 4096- Bit (Bit) -RSA-Schlüssel
3. Im folgenden Beispiel hat das Zertifikat (auf dem Server überprüft) einen RSA-Schlüssel von 16384 Bit