Les journaux système signalent « Échec de la vérification du certificat du serveur d'authentification » et « Échec du déchiffrement de la signature du certificat »

• L'authentification du pare-feu est configurée via le serveur externe Radius.
• Le certificat externe signé du serveur Radius est importé dans le pare-feu.
• Les journaux système ( show log system ) et les journaux d'authentification ( less mp-log authd.log ) signalent des messages d'échec d'authentification avec des erreurs.

  Journaux système :

  08:37 medium auth radius auth-fa échec d'authentification pour utilisateur « XXXXX ». Raison : échec de la vérification du certificat du serveur d'authentification . profil d'authentification « radius-auth », vsys « shared », profil de serveur « admin-auth_ise », adresse de serveur « 10.XXX », protocole d'authentification « PEAP-MSCHAPv2 », message de réponse « échec de signature du certificat ; erreur de déchiffrement » De : 10.XXX

  Journaux d'authentification :

  55:40.592 +0000 Erreur : EapolStatusCb(pan_auth_eapol.c:997) : (AId:7084147726929100899) Erreur de certificat (échec de signature du certificat ) 55:40.592 +0000 Erreur : EapolStatusCb(pan_auth_eapol.c:997) : (AId:7084147726929100899) Erreur de certificat (erreur de déchiffrement) .

  
  

• Pare-feu Palo Alto
• PAN-OS 8.1 et versions ultérieures
• Certificats

Le certificat externe signé installé dans le pare-feu (racine ou intermédiaire) possède une clé RSA publique supérieure à 8 192 bits.

1. Assurez-vous que le certificat externe installé sur le pare-feu ne dépasse pas les clés RSA de 8 192 bit .
2. Le pare-feu peut authentifier les certificats jusqu'à 8192 bit de clés RSA du serveur de destination , cependant le certificat auto-généré par le pare-feu PA pour le client ne prend en charge que les clés RSA jusqu'à 4096 bit
3. Dans cet exemple ci-dessous, le certificat racine (vérifié sur le serveur) possède une clé RSA de 16384 bits