Wenn die Entschlüsselung aktiviert ist, haben macOS Monterey und höher Probleme mit der Vertrauenswürdigkeit von Zertifikaten mit PAN-OS 10.2.2+ oder 10.1.7
10705
Created On 09/30/22 12:39 PM - Last Modified 05/09/23 05:53 AM
Symptom
Für Benutzer von MacOS Monterey und neueren Versionen kann dies zu Problemen mit der Vertrauenswürdigkeit von Zertifikaten führen, wenn alle der folgenden Bedingungen erfüllt sind:
- Entschlüsselung aktiviert auf firewall
- PANOS Version 10.2.2 und 10.1.7
- Safari- und Chrome-Browser, aber nicht Firefox
Environment
- Alle Palo Alto Firewalls
- PAN-OS 10.2.2+ & 10.1.7
- Entschlüsselung aktiviert.
Cause
- Unterstützung für das Parsen der Erweiterungen Server Key Identified () und Authority Key Identifier (SKIDAKID) wurde in 10.1.7 und 10.2.2 hinzugefügt.
- Durch die Erweiterung wurde jedoch auch ein Flag gesetzt, um die AKID Erweiterung aus dem ursprünglichen Zertifikat in das neue Zertifikat zu kopieren, was dazu führte, dass einige Browser das Zertifikat nicht validieren konnten, da das AKID Zertifikat des Serverzertifikats nicht mit dem SKID Zertifikat der Weiterleitungsvertrauensstellung übereinstimmte.
Referenz PAN-199099.
Resolution
Die folgende Problemumgehung kann angewendet werden, um dieses Problem zu beheben
- Verwenden Sie eine WeiterleitungsvertrauensstellungCA, die weder einen Autoritätsschlüsselbezeichner () noch einen Serverschlüsselbezeichner (AKIDSKID) enthält. Dies ist Standard in PAN firewall erstellten Zertifikaten.
- Fix ist in der kürzlich veröffentlichten PAN-OS Version 10.2.3 verfügbar (siehe PAN-199099)
- Fix ist in 10.1.8 vorgesehen