Übersicht
Dieses Dokument beschreibt die CLI-Befehle für das Hinzufügen/Entfernen von URLs in/aus der SSL-Exclude-Liste für den Ausschluss von der SSL-Entschlüsselung.
Details
Zum Beispiel, wenn es eine Richtlinie gibt, um Sitzungen für die Kategorie "Shopping" zu entschlüsseln, aber der Wunsch ist es, Sitzungen auszuschließen und nicht zu entschlüsseln, um eine Website als Shopping kategorisiert (wie www.Amazon.com), kann die einzelne URL durch die Eingabe der folgenden Befehle ausgeschlossen werden :
> configure
# Set shared SSL-entschlüsselt SSL-ausschließen-CERT www.Amazon.com
# Commit
Das Ergebnis wird eine Ausschlussregel für eine einzelne URL erstellen. Der Browser muss möglicherweise nach dem Hinzufügen der Ausschlussregel aktualisiert werden, um die tatsächliche Server Bescheinigung zu erkennen, im Gegensatz zu dem selbst signierten Zertifikat des Palo Alto Networks-Geräts.
Der Befehl "Befehls Konfiguration", das geteilte SSL-entschlüsselt zeigt, zeigt die Einträge im Ausschluss-Cache an:
# Show shared SSL-entschlüsselt
SSL-Decrypt {}
SSL-exclude-CERT [ www.Amazon.com www.yahoo.com];
Hinweis: für den Fall, dass das Hinzufügen dieser Einträge den Traffic nach der Erstellung der oben genannten Änderungen immer noch als entschlüsselt in den Verkehrs Protokollen reflektiert, kann es erforderlich sein, den SSL-Entschlüsselungs Zertifikats-Cache zu löschen, um die Änderung durchzusetzen.
> Debug dataplane Reset SSL-entschlüsselt Zertifikat-Cache
Um rückgängig zu machen, führen Sie folgende Befehle aus:
> configure
# Löschen shared SSL-entschlüsselt SSL-ausschließen-CERT www.Amazon.com
# Commit
Besitzer: hmistry