系统日志报告“身份验证服务器证书验证失败”和“证书签名失败解密错误”

• 防火墙身份验证通过 Radius 外部服务器配置。
• 将Radius服务器的外部签名证书导入到防火墙。
• 系统日志（ show log system ）和 authd 日志（ less mp-log authd.log ）报告带有错误的身份验证失败消息。

  系统日志：

  08:37 中等身份验证 radius auth-fa对用户'XXXXX' 的身份验证失败。原因：身份验证服务器证书验证失败。身份验证配置配置文件'radius-auth'、 vsys 'shared'、服务器配置配置文件'admin-auth_ise'、服务器地址 '10.XXX'、身份验证协议 'PEAP-MSCHAPv2'、回复消息'证书签名失败；解密错误'来自：10.XXX

  认证日志：

  55：40.592 +0000 错误：EapolStatusCb（pan_auth_eapol.c：997）：（AId：7084147726929100899）证书错误（证书签名失败） 55：40.592 +0000 错误：EapolStatusCb（pan_auth_eapol.c：997）：（AId：7084147726929100899）证书错误（解密错误） 。

  
  

• Palo Alto 防火墙
• PAN-OS 8.1 及以上版本
• 证书

防火墙中安装的外部签名证书（根或中级）具有大于 8192 位的公共 RSA 密钥。

1. 确保防火墙上安装的外部证书不大于 8192bit(位-bit）RSA 密钥。
2. 防火墙可以验证来自目标服务器的最多 8192bit(位-bit）RSA 密钥的证书，但 PA防火墙向客户端自行生成的证书仅支持最多 4096bit(位-bit）RSA 密钥
3. 在下面的例子中，根证书（在服务器上检查）具有 16384 位的 RSA 密钥