GUI 升级后不工作firewall到 11.0.0。
28857
Created On 12/21/22 01:01 AM - Last Modified 03/02/23 05:55 AM
Symptom
- PAN-OS 升级了firewall到 11.0.0
- GUI 连接不起作用。
- GlobalProtect 门户配置在Firewall也不工作
- 访问门户URL使用 Web 浏览器显示“ERR_SSL_KEY_USAGE_INCOMPATIBLE”
Environment
- 帕洛阿尔托Firewall升级PAN-OS11.0.0。
- SSL-TLS 为 Web 访问配置的配置文件。
- GlobalProtect 门户已配置
Cause
- 什么时候SSL/TLS服务配置文件,协议设置的最大版本设置为最大。
- 使用 TLSv1.2 的客户端计算机无法与响应 TLSv1.3 的服务器协商。
- 配置时出现问题SSL-TLS配置文件用于GlobalProtect配置或用于管理 Web 访问。
Resolution
- 设置TLS最大版本到 1.2 使用 CLI
> set shared ssl-tls-service-profile <SSL policy> protocol-settings max-version TLSv1.2
> configure
# commit
# exit
或者如果有人有权访问GUI, 使用
- 设备 > 证书管理 >SSL /TLS服务简介
- 使用下拉菜单将协议设置设置为 TLSv1.2:
Additional Information
22 年 1 月 4 日 (Vijay) - 文章与 Adnan 一起更新并在外部发布。