启用解密后，macOS Monterey 及更高版本存在证书信任问题PAN-OS10.2.2+ 或 10.1.7

• 启用解密 firewall
• PANOS 版本 10.2.2 和 10.1.7
• Safari 和 Chrome 浏览器，但不包括 Firefox

• 任何帕洛阿尔托防火墙
• PAN-OS 10.2.2+ & 10.1.7
• 解密已启用。

• 支持解析Server Key Identified (SKID ) 和权限密钥标识符 (AKID ) 扩展是在 10.1.7 和 10.2.2 中添加的。
• 但是，增强功能还设置了一个标志来复制AKID从原始证书扩展到新证书，导致某些浏览器无法验证证书，因为AKID服务器证书不匹配SKID前向信任证书。

可以应用以下解决方法来缓解此问题

1. 使用远期信托CA不包含权威密钥标识符（AKID ) 也不是服务器密钥标识符 (SKID ). 这是标准的PAN firewall创建证书。
2. 修复程序可在最近发布的PAN-OS10.2.3 （参考PAN-199099)
3. 修复针对 10.1.8