Gérer la liste d’exclusion des certificats

Gérer la liste d’exclusion des certificats

21539
Created On 09/25/18 20:34 PM - Last Modified 03/26/21 17:01 PM


Symptom


Les administrateurs ont plus de contrôle sur les listes PAN-OS d’exclusion de certificat dans 8.0. maintient une liste PAN-OS d’exclusion de certificat prédéfinie SSL qui répertorie les CNs de certificats pour lesquels le décryptage est contourné. PAN-OS 8.0 accorde aux administrateurs l’accès à cette liste, livrée via la mise à jour du contenu, via et permet GUI CLI aux administrateurs d’activer/désactiver les entrées prédéfinis et d’ajouter des entrées personnalisées à la liste existante.

Environment


  • PAN-OS 8.0

Resolution


La liste peut être consultée via l’onglet Périphérique > gestion des certificats > exclusion de SSL décryptage.

décryptage SSL exclusion. png

 

La liste présente trois types d'entrées

  • Prédéfins : Poussé via la mise à jour du contenu
  • Partagé: Entrées partagées personnalisées créées par admin
  • Personnalisé par VSYS : Entrées personnalisées spécifiques à VSYS la création par admin

Les entrées prédéfines peuvent être modifiées, désactivées ou activées par VSYS .

 

Toutes les entrées d'une liste doivent être uniques: si une entrée pré-définie correspond à une entrée personnalisée existante, l'Entrée personnalisée est prioritaire et reste inchangée

 

Les inscriptions dans la liste sont comparées à SNI celles demandées dans Client Hello CN ou / noms dans le SAN certificat

  • Si une correspondance se produit avec une entrée activée dans la liste exclure, le décryptage de ce site Web sera contourné
  • Si aucune correspondance ne se produit alors firewall le décryptage du trafic

Il est possible que les listes prédéfines, partagées, VSYS aient le même nom d’hôte. Par exemple, ils ont tous' *. iCloud.com'hostname avec un statut différent'enable'ou'disable'

La séquence pour que le plan de données décide de l’exclusion VSYSest la suivante : , partagée, prédéfine

Ajout manuel d'une exclusion:

  1. SSL Exclusion de décryptage > ajouter l’entrée
  2. Nom de l’hôte: Nom commun du certificat qui doit être exclu du décryptage. Il est sensible aux cas.
  3. Description: A message personnalisé
  4. Vérifiez "Exclure" le bouton radio

ssldecrypt.png

 

Commandes disponibles via CLI

  • Les nouvelles entrées d'exclusion peuvent être configurées à l'Aide de:
# set shared ssl-decrypt ssl-exclude-cert  *.bankofamerica.com   *.bankofamerica.com  *.ycharts.com         *.ycharts.com  <value>               SSL Decryption Exclusion entry name
  • Les entrées prédéfinies peuvent être activées/désactivées à l'Aide de:
# set shared ssl-decrypt disabled-ssl-exclude-cert-from-predefined  [Start a list of values].

  • Commande de test prédéfini pour tester un site Web par rapport à la liste d’exclusion sur le firewall

test ssl-exclude-list
> predefined   Test hostname in predefined SSL Exclude list
> shared       Test hostname in shared SSL Exclude list
> vsys         Test hostname in vsys SSL Exclude list
 

 

Additional Information


  • Le nom d’hôte de SSL l’exclusion de décryptage est sensible aux cas. Veuillez consulter l’exemple suivant :
PA-3060(active)> test ssl-exclude-list predefined hostname whatsapp.net

Hostname 'whatsapp.net' is excluded from decryption


PA-3060(active)> test ssl-exclude-list predefined hostname Whatsapp.net

Hostname 'Whatsapp.net' is not excluded from decryption


PA-3060(active)>
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClhrCAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language