Demande client
Avec le décryptage SSL entrant, après la configuration requise et l’importation des certificats requis, le décryptage SSL entrant ne fonctionne pas sur le serveur web.
De même lorsque vous utilisez SSL avant Proxy, les sessions sont soit ne pas avoir déchiffré et continuent de s’afficher comme application « ssl », ou les connexions ne sont pas autorisées à travers en tant qu’application « ssl » et sont au contraire être interrompues.
Consultez la matrice de compatibilité suivante pour voir quelles suites de chiffrement sont prises en charge en fonction de la version et de la fonction de Pan-OS:
Suites de chiffrement pris en charge
À l’aide de la commande CLI suivante, recherchez le type de message de goutte :
> montrer delta filtre global compteur Oui | match de ssl_sess_id_resume_drop
De Pan-OS 6,0 et au-dessus, la commande show Counter global montrera si une suite de chiffrement n'est pas prise en charge.
Avec une PCAP filtre delta appliquée et en utilisant des compteurs :
> Show compteur global filtre paquet-filtre Oui Delta oui
ou
> montrer delta filtre global compteur Oui | correspond à « ssl_server_cipher_not_supported »
...
...
ssl_server_cipher_not_supported 2 0 avertir ssl pktproc l’algorithme de chiffrement choisie par serveur n’est pas pris en charge
Résolution
Désactiver les suites de chiffrement non pris en charge sur le serveur web.
Voir aussi
Palo Alto Networks pris en charge la Version SSL/TLS et les Suites de chiffrement pour l’interface Web
propriétaire : panagent