خطأ في التحقق من صحة شهادة الوصول الآمن مع تحميلات سجل عميل Splunk

مسألة

تعذر على عملاء Windows الذين يقومون بتشغيل عميل Splunk تحميل السجلات إلى سحابة Splunk بسبب أخطاء التحقق من صحة الشهادة عند فك تشفير حركة مرور البيانات بواسطة Cisco Secure Access. فشل أكثر من 5000 من مصادر سجل Windows في إرسال البيانات إلى مجموعة Splunk، مما أثر على إستيعاب السجل. الخطأ المحدد الذي تم ملاحظته في سجلات عميل Splunk هو:

02-27-2026 16:51:54.830 +0530 ERROR X509Verify [15668 TcpOutEloop] - Server X509 certificate failed validation; error=20, reason="unable to get local issuer certificate"

كانت حركة المرور إلى الوجهة *.splunkcloud.com تتدفق عبر جدار الحماية، لكن التحقق من صحة شهادة مستوى التطبيق كان فاشلا. استمر إستعراض الويب للمواقع التي تم فيها تمكين فك تشفير SSL في العمل بشكل طبيعي.

البيئة

• الوصول الآمن من Cisco مع تمكين فك تشفير SSL/TLS

• عملاء Windows المثبت عليهم أداة توجيه Splunk Universal

• وجهة سحابة Splunk: *.splunkcloud.com

• تأثر أكثر من 5000 من مصادر سجل Windows

• يستخدم عميل Splunk مخزن الشهادات الخاص به، وليس مخزن شهادات نظام Microsoft

قرار

تم حل المشكلة بتنفيذ سياسة تجاوز فك التشفير لحركة مرور سحابة Splunk في Cisco Secure Access.

وقد اتخذت عدة خطوات.

الخطوة 1: تحديد المشكلة

وخلال جلسة عمل WebEx، تم تأكيد السلوك وإعادة إنتاجه. أظهر الاختبار أنه عند تعطيل فك تشفير الوصول الآمن لعميل أو عند تعطيل خدمة SWG على العميل، نجحت عمليات تحميل سجل Splunk. أكد ذلك أن عملية فك تشفير SSL/TLS كانت السبب في فشل التحقق من صحة الشهادة.

الخطوة 2: إنشاء قائمة الوجهة

تم إنشاء قائمة الوجهة التي تحتوي على قوائم FQDN لعناوين IP الخاصة بسحابة Splunk إلى حركة مرور الهدف المحددة لخدمات سحابة Splunk.

الخطوة 3: تنفيذ سياسة تجاوز فك التشفير

تم تنفيذ سياسة وصول آمن من Cisco لتعطيل فك تشفير SSL/TLS لحركة المرور التي تطابق قائمة وجهة سحابة Splunk. سمحت سياسة الالتفاف هذه لعملاء Splunk بإنشاء إتصالات مشفرة مباشرة بسحابة Splunk بدون اعتراض الشهادة بواسطة Secure Access.

الخطوة 4: التحقق من الصحة

بعد تنفيذ سياسة تجاوز فك التشفير، أكدت عملية التحقق من الصحة ما يلي:

• تمكن عملاء Splunk من تحميل السجلات بنجاح

• زاد العدد الإجمالي للعملاء المبلغين في سحابة Splunk زيادة كبيرة

• لم يتم ملاحظة أي أخطاء إضافية في التحقق من صحة الشهادة

تم خفض خطورة الحالة من 1 إلى 3 ودخلت في حالة المراقبة لمراقبة النجاح المستمر في إستيعاب السجل.

السبب

السبب الجذري هو أن عميل Splunk يستخدم مخزن الشهادات الخاص به ولا يثق في شهادة Cisco Secure Access Primary SubCA التي تم تقديمها أثناء فك تشفير SSL/TLS. عندما قامت Cisco Secure Access باعتراض حركة مرور SSL وفك تشفيرها إلى شبكة Splunk، فإنها أعادت تشفير حركة مرور البيانات باستخدام سلطة الترخيص الخاصة بها. قامت عملية التحقق من صحة شهادة عميل Splunk برفض هذه الشهادة لأنها لم تتمكن من التحقق من سلسلة الشهادات مرة أخرى إلى مرجع شهادات جذر موثوق به في مخزن الشهادات الخاص بها.

يشير خطأ التحقق من صحة X.509 المحدد "تعذر الحصول على شهادة المصدر المحلي" (رمز الخطأ 20) إلى أن عملية التحقق من صحة الشهادة لم تتمكن من تحديد موقع مرجع إصدار الشهادة في مخزن الشهادات الموثوق بها للعميل، مما تسبب في فشل الاتصال.

المحتوى ذي الصلة

• الدعم الفني والتنزيلات من Cisco

محفوظات المراجعة

المراجعة	تاريخ النشر	التعليقات
1.0	26-May-2026	الإصدار الأولي