Симптомы

Произвели настройки DNAT и правил Firewall и SSL инспектирования, однако при обращении к ресурсу подменяется сертификат

Решение

Если есть правило инспектирования SSL для расшифровки всего трафика, то чтобы не расшифровывать определенный трафик DNAT нужно создать правило инспектирования SSL с действием не расшифровывать и в условии адрес назначения указать локальный адрес публикуемого ресурса, а не адрес внешнего интерфейса NGFW через, который доступен данный ресурс

Причина

Клиент не правильно настроил исключающие правило инспектирования SSL указав в условии адрес назначения внешний ip адрес NGFW на которые приходят запросы для правила DNAT.