SSL 復号化から URL を除外する方法

概要

このドキュメントでは、ssl 復号化から除外するために、ssl 除外リストとの間で url を追加/削除するための CLI コマンドについて説明します。

詳細

たとえば、"ショッピング" というカテゴリのセッションを復号化するポリシーがあるが、ショッピング (www.amazon.com など) として分類されたサイトにセッションを除外して復号化しない場合は、次のコマンドを入力して1つの URL を除外できます。:

>構成

# 設定共有 ssl-復号化 ssl-除外-cert のwww.amazon.com
# コミット

その結果、1つの URL に対して除外ルールが作成されます。ブラウザは、パロアルトネットワークデバイスからの自己署名証明書ではなく、実際のサーバー証明書を認識させるために除外ルールを追加した後に更新する必要があります。

[コマンド構成モード] コマンド (共有 ssl 復号化の表示) には、除外キャッシュ内のエントリが表示されます。

# 表示共有 ssl-復号化

ssl 復号化 {

  ssl-除外-cert [ www.amazon.com www.yahoo.com];

注:上記の変更を行った後も、これらのエントリのトラフィックを追加しても、トラフィックログの暗号化が解除されたとしても、変更を強制するために SSL 復号化証明書キャッシュをクリアする必要がある場合があります。
> デバッグ dataplane リセット ssl-復号化証明書-キャッシュ

元に戻すには、次のコマンドを実行します。

>構成

# 削除共有 ssl-復号化 ssl-除外-cert のwww.amazon.com
# コミット

所有者: hmistry