Administrar lista de exclusión de certificados
Symptom
Los administradores tienen más control sobre las listas de exclusión de certificados en PAN-OS 8.0. PAN-OS mantiene una lista de exclusión de certificado predefinida que enumera los CN de los certificados para los que se SSL omite el descifrado. PAN-OS 8.0 concede a los administradores acceso a esta lista, se entrega a través de la actualización de contenido, a través GUI y permite a los administradores CLI habilitar/deshabilitar entradas predefinidas y agregar entradas personalizadas a la lista existente.
Environment
- PAN-OS 8.0
Resolution
Se puede acceder a la lista a través de la pestaña Dispositivo > Gestión de certificados > Exclusión de SSL descifrado.
La lista muestra tres tipos de entradas
- Predefinido: Empujado a través de la actualización de contenido
- Compartido: Entradas compartidas personalizadas creadas por admin
- Personalizado por VSYS : Entradas personalizadas específicas para VSYS crear por el administrador
Las entradas predefinidos se pueden modificar, deshabilitar o habilitar por VSYS .
Todas las entradas de una lista deben ser únicas: Si una entrada predefinida coincide con una entrada personalizada existente, la entrada personalizada tendrá prioridad y permanecerá inalterada.
Las entradas de la lista se comparan con las SNI solicitadas en Client Hello o CN / names en el SAN certificado
- Si se produce una coincidencia con una entrada habilitada en la lista de exclusión, se omitirá el descifrado para ese sitio web
- Si no se produce ninguna coincidencia, entonces el firewall descifrará el tráfico
Es posible que las listas predefinidos y VSYS compartidas tengan el mismo nombre de host. Por ejemplo, todos tienen el nombre de host ' *. iCloud.com ' con diferente estado ' Enable ' o ' Disable '
La secuencia para que el plano de datos decida la exclusión es: VSYS, compartida, predefinido
Agregar una exclusión manualmente:
- SSL Exclusión de descifrado > Agregar entrada
- Nombre de host: Nombre común del certificado que debe excluirse del descifrado. Es sensible a mayúsculas y minúsculas.
- Descripción: A mensaje personalizado
- Marque "Excluir" botón de opción
Comandos disponibles a través de CLI
- Las nuevas entradas de exclusión se pueden configurar mediante:
# set shared ssl-decrypt ssl-exclude-cert *.bankofamerica.com *.bankofamerica.com *.ycharts.com *.ycharts.com <value> SSL Decryption Exclusion entry name
- Las entradas predefinidas pueden habilitarse/deshabilitarse para utilizar:
# set shared ssl-decrypt disabled-ssl-exclude-cert-from-predefined [Start a list of values].
Comando de prueba predefinido para probar un sitio web en la lista de exclusión de la firewall
test ssl-exclude-list > predefined Test hostname in predefined SSL Exclude list > shared Test hostname in shared SSL Exclude list > vsys Test hostname in vsys SSL Exclude list
Additional Information
- El nombre de host de la SSL exclusión de descifrado distingue entre mayúsculas y minúsculas. Por favor, mire el siguiente ejemplo:
PA-3060(active)> test ssl-exclude-list predefined hostname whatsapp.net Hostname 'whatsapp.net' is excluded from decryption PA-3060(active)> test ssl-exclude-list predefined hostname Whatsapp.net Hostname 'Whatsapp.net' is not excluded from decryption PA-3060(active)>