启用解密后,macOS Monterey 及更高版本存在证书信任问题PAN-OS10.2.2+ 或 10.1.7
10715
Created On 09/30/22 12:39 PM - Last Modified 05/09/23 05:53 AM
Symptom
对于 MacOS Monterey 及更高版本的用户,当满足以下所有条件时,可能会导致证书信任问题:
- 启用解密 firewall
- PANOS 版本 10.2.2 和 10.1.7
- Safari 和 Chrome 浏览器,但不包括 Firefox
Environment
- 任何帕洛阿尔托防火墙
- PAN-OS 10.2.2+ & 10.1.7
- 解密已启用。
Cause
- 支持解析Server Key Identified (SKID ) 和权限密钥标识符 (AKID ) 扩展是在 10.1.7 和 10.2.2 中添加的。
- 但是,增强功能还设置了一个标志来复制AKID从原始证书扩展到新证书,导致某些浏览器无法验证证书,因为AKID服务器证书不匹配SKID前向信任证书。
参考PAN-199099.
Resolution
可以应用以下解决方法来缓解此问题
- 使用远期信托CA不包含权威密钥标识符(AKID ) 也不是服务器密钥标识符 (SKID ). 这是标准的PAN firewall创建证书。
- 修复程序可在最近发布的PAN-OS10.2.3 (参考PAN-199099)
- 修复针对 10.1.8