GUI のアップグレード後に動作しないfirewall11.0.0 に。
28902
Created On 12/21/22 01:01 AM - Last Modified 03/02/23 06:01 AM
Symptom
- PAN-OS でアップグレードfirewall11.0.0 に
- GUI 接続が機能しません。
- GlobalProtect で設定されたポータルFirewallどちらも機能しません
- ポータルへのアクセスURLWeb ブラウザを使用すると「ERR_SSL_KEY_USAGE_INCOMPATIBLE」が表示されます
Environment
- パロアルトFirewallアップグレードPAN-OS11.0.0。
- SSL-TLS Web アクセス用に構成されたプロファイル。
- GlobalProtect 構成されたポータル
Cause
- いつSSL/TLSサービス プロファイル、プロトコル設定の最大バージョンが最大に設定されています。
- TLSv1.2 を使用するクライアント マシンは、TLSv1.3 で応答しているサーバーとのネゴシエーションに失敗します。
- 構成時に問題が発生するSSL-TLSプロファイルは、GlobalProtect構成または管理 Web アクセス用。
Resolution
- をセットするTLSを使用して最大バージョンを 1.2 に CLI
> set shared ssl-tls-service-profile <SSL policy> protocol-settings max-version TLSv1.2
> configure
# commit
# exit
または、アクセスできる場合GUI、 使用
- デバイス > 証明書管理 >SSL /TLSサービス プロファイル
- ドロップダウンを使用して、プロトコル設定を TLSv1.2 に設定します。
Additional Information
4 1 月 22 日 (Vijay) - 記事が Adnan で更新され、外部に公開されました。