Problem
Bei eingehenden SSL-Entschlüsselung, nachdem die erforderliche Konfiguration und Import von allen erforderlichen Zertifikaten funktioniert die eingehende SSL-Entschlüsselung nicht auf dem Webserver.
Ähnlich wie bei der Verwendung von SSL-Forward Proxy Sitzungen sind entweder nicht immer entschlüsselt und weiterhin als Anwendung "Ssl" zeigen, oder Verbindungen dürfen nicht durch als Anwendung "Ssl" und sind stattdessen unterbrochen werden.
Schauen Sie sich die folgende Kompatibilitäts Matrix an, um zu sehen, welche Chiffrier Suiten nach Pan-OS-Release und Funktion oder Funktion unterstützt werden:
Unterstützte Verschlüsselungsverfahren
Mit dem folgenden CLI-Befehl, für den Typ der Drop Nachricht aussehen:
> Zähler globale Filter Delta ja zeigen | entsprechen ssl_sess_id_resume_drop
Von PAN-OS 6,0 und höher wird der Show-Counter Global- Befehl zeigen, ob eine Chiffrier Suite nicht unterstützt wird.
Mit einer PCAP filter angewendet und mit Delta-Zähler:
> Counter Global Filter Packet anzeigen-Filter Yes Delta ja
oder
> Zähler globale Filter Delta ja zeigen | Spiel "Ssl_server_cipher_not_supported"
...
...
Ssl_server_cipher_not_supported 2 0 warnen SSL-Pktproc die Chiffre vom Server wird nicht unterstützt
Lösung
Deaktivieren Sie die nicht unterstützte Verschlüsselungsverfahren auf dem Webserver.
Siehe auch
Palo Alto Networks unterstützt SSL/TLS-Version und Cipher Suites für Web-UI
Besitzer: Panagent