Zertifikatausschlussliste verwalten

Zertifikatausschlussliste verwalten

21541
Created On 09/25/18 20:34 PM - Last Modified 03/26/21 17:01 PM


Symptom


Administratoren haben mehr Kontrolle über die Zertifikatausschlusslisten in PAN-OS 8.0. PAN-OS verwaltet eine vordefinierte Zertifikatausschlussliste, die die CNs von Zertifikaten auflistet, für die die SSL Entschlüsselung umgangen wird. PAN-OS 8.0 gewährt Administratoren Zugriff auf diese Liste, die über inhaltsaktualisiert, GUI über und und ermöglicht CLI Administratoren, vordefinierte Einträge zu aktivieren/ zu deaktivieren und benutzerdefinierte Einträge zur vorhandenen Liste hinzuzufügen.

Environment


  • PAN-OS 8.0

Resolution


Auf die Liste kann über die Registerkarte Gerät > Zertifikatverwaltung > SSL Entschlüsselungsausschlusszugegriffen werden.

SSL-Entschlüsselungs Ausschluss. png

 

Die Liste zeigt drei Arten von Einträgen

  • Vordefiniert: Über Inhaltsaktualisierung gepusht
  • Geteilt: Benutzerdefinierte freigegebene Einträge, die von admin erstellt wurden
  • Benutzerdefiniert pro VSYS : Benutzerdefinierte Einträge, die speziell für die von admin erstellten Einträge VSYS sind

Vordefinierte Einträge können pro geändert, deaktiviert oder aktiviert VSYS werden.

 

Alle Einträge in einer Liste müssen einzigartig sein: Wenn ein vordefinierter Eintrag mit einem bestehenden benutzerdefinierten Eintrag übereinstimmt, dann hat der individuelle Eintrag Vorrang und bleibt unverändert.

 

Einträge in der Liste werden mit den SNI in Client Hello CN oder/Namen im Zertifikat angeforderten SAN

  • Wenn ein Match mit einem aktivierten Eintrag in der Exclude-Liste stattfindet, wird die Entschlüsselung für diese Website umgangen
  • Wenn keine Übereinstimmung auftritt, firewall entschlüsselt der den Datenverkehr

Es ist möglich, dass die vordefinierten, freigegebenen VSYS Listen denselben Hostnamen haben. Zum Beispiel haben Sie alle ' *. icloud.com ' Hostname mit unterschiedlichem Status ' Enable ' oder ' deaktivieren '

Die Reihenfolge für die Datenebene, die den Ausschluss entscheidet, lautet: VSYS, freigegeben, vordefiniert

Manuell einen Ausschluss hinzufügen:

  1. SSL Entschlüsselungsausschluss > Eintrag hinzufügen
  2. Hostname: Allgemeiner Name des Zertifikats, das von der Entschlüsselung ausgeschlossen werden muss. Es ist Case Sensitive.
  3. Beschreibung: A Benutzerdefinierte Nachricht
  4. Überprüfen Sie "Ausschließen" Radiotaste

ssldecrypt.png

 

Befehle verfügbar über CLI

  • Neue exklusiv-Einträge können konfiguriert werden mit:
# set shared ssl-decrypt ssl-exclude-cert  *.bankofamerica.com   *.bankofamerica.com  *.ycharts.com         *.ycharts.com  <value>               SSL Decryption Exclusion entry name
  • Vordefinierte Einträge können von der Verwendung aktiviert/deaktiviert werden:
# set shared ssl-decrypt disabled-ssl-exclude-cert-from-predefined  [Start a list of values].

  • Vordefinierter Testbefehl zum Testen einer Website mit der Ausschlussliste auf der firewall

test ssl-exclude-list
> predefined   Test hostname in predefined SSL Exclude list
> shared       Test hostname in shared SSL Exclude list
> vsys         Test hostname in vsys SSL Exclude list
 

 

Additional Information


  • Der Hostname im SSL Entschlüsselungsausschluss wird von groß vertraulich berücksichtigt. Bitte sehen Sie sich folgendes Beispiel an:
PA-3060(active)> test ssl-exclude-list predefined hostname whatsapp.net

Hostname 'whatsapp.net' is excluded from decryption


PA-3060(active)> test ssl-exclude-list predefined hostname Whatsapp.net

Hostname 'Whatsapp.net' is not excluded from decryption


PA-3060(active)>
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClhrCAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language