Zertifikatausschlussliste verwalten
Symptom
Administratoren haben mehr Kontrolle über die Zertifikatausschlusslisten in PAN-OS 8.0. PAN-OS verwaltet eine vordefinierte Zertifikatausschlussliste, die die CNs von Zertifikaten auflistet, für die die SSL Entschlüsselung umgangen wird. PAN-OS 8.0 gewährt Administratoren Zugriff auf diese Liste, die über inhaltsaktualisiert, GUI über und und ermöglicht CLI Administratoren, vordefinierte Einträge zu aktivieren/ zu deaktivieren und benutzerdefinierte Einträge zur vorhandenen Liste hinzuzufügen.
Environment
- PAN-OS 8.0
Resolution
Auf die Liste kann über die Registerkarte Gerät > Zertifikatverwaltung > SSL Entschlüsselungsausschlusszugegriffen werden.
Die Liste zeigt drei Arten von Einträgen
- Vordefiniert: Über Inhaltsaktualisierung gepusht
- Geteilt: Benutzerdefinierte freigegebene Einträge, die von admin erstellt wurden
- Benutzerdefiniert pro VSYS : Benutzerdefinierte Einträge, die speziell für die von admin erstellten Einträge VSYS sind
Vordefinierte Einträge können pro geändert, deaktiviert oder aktiviert VSYS werden.
Alle Einträge in einer Liste müssen einzigartig sein: Wenn ein vordefinierter Eintrag mit einem bestehenden benutzerdefinierten Eintrag übereinstimmt, dann hat der individuelle Eintrag Vorrang und bleibt unverändert.
Einträge in der Liste werden mit den SNI in Client Hello CN oder/Namen im Zertifikat angeforderten SAN
- Wenn ein Match mit einem aktivierten Eintrag in der Exclude-Liste stattfindet, wird die Entschlüsselung für diese Website umgangen
- Wenn keine Übereinstimmung auftritt, firewall entschlüsselt der den Datenverkehr
Es ist möglich, dass die vordefinierten, freigegebenen VSYS Listen denselben Hostnamen haben. Zum Beispiel haben Sie alle ' *. icloud.com ' Hostname mit unterschiedlichem Status ' Enable ' oder ' deaktivieren '
Die Reihenfolge für die Datenebene, die den Ausschluss entscheidet, lautet: VSYS, freigegeben, vordefiniert
Manuell einen Ausschluss hinzufügen:
- SSL Entschlüsselungsausschluss > Eintrag hinzufügen
- Hostname: Allgemeiner Name des Zertifikats, das von der Entschlüsselung ausgeschlossen werden muss. Es ist Case Sensitive.
- Beschreibung: A Benutzerdefinierte Nachricht
- Überprüfen Sie "Ausschließen" Radiotaste
Befehle verfügbar über CLI
- Neue exklusiv-Einträge können konfiguriert werden mit:
# set shared ssl-decrypt ssl-exclude-cert *.bankofamerica.com *.bankofamerica.com *.ycharts.com *.ycharts.com <value> SSL Decryption Exclusion entry name
- Vordefinierte Einträge können von der Verwendung aktiviert/deaktiviert werden:
# set shared ssl-decrypt disabled-ssl-exclude-cert-from-predefined [Start a list of values].
Vordefinierter Testbefehl zum Testen einer Website mit der Ausschlussliste auf der firewall
test ssl-exclude-list > predefined Test hostname in predefined SSL Exclude list > shared Test hostname in shared SSL Exclude list > vsys Test hostname in vsys SSL Exclude list
Additional Information
- Der Hostname im SSL Entschlüsselungsausschluss wird von groß vertraulich berücksichtigt. Bitte sehen Sie sich folgendes Beispiel an:
PA-3060(active)> test ssl-exclude-list predefined hostname whatsapp.net Hostname 'whatsapp.net' is excluded from decryption PA-3060(active)> test ssl-exclude-list predefined hostname Whatsapp.net Hostname 'Whatsapp.net' is not excluded from decryption PA-3060(active)>