リストには3種類のエントリが表示されます。

• 事前定義: コンテンツの更新を介してプッシュ
• 共有: 管理者が作成したカスタム共有エントリ
• カスタム数 VSYS : VSYS 管理者が作成するカスタム エントリ

事前定義されたエントリは、変更、無効化、または有効にできます VSYS 。

リスト内のすべてのエントリは一意である必要があります: 定義済みのエントリが既存のカスタムエントリと一致する場合、カスタムエントリが優先され、変更されません

リストのエントリは、 SNI 要求されたクライアントの Hello または CN / SAN 証明書の名前と比較されます。

• 除外リストの有効なエントリで一致が発生した場合、その web サイトの復号化はバイパスされます。
• 一致が発生しない場合 firewall は、トラフィックを復号化します。

事前定義された共有 VSYS リストのホスト名が同じである可能性があります。 たとえば、すべての ' * icloud.com ' のホスト名が異なる状態で "有効" または "無効" になっています。

除外を決定するデータプレーンのシーケンスVSYSは、次の、共有済み、事前定義されています。

除外を手動で追加する:

1. SSL [エントリの 追加 ] >復号化除外
2. ホスト名: 復号化から除外する必要がある証明書の共通名。 大文字と小文字を区別します。
3. 説明: A カスタム メッセージ
4. [除外] ラジオ ボタンをチェックします。

コマンドを使用できます。 CLI

• 新しい除外エントリは、以下を使用して構成できます。

# set shared ssl-decrypt ssl-exclude-cert  *.bankofamerica.com   *.bankofamerica.com  *.ycharts.com         *.ycharts.com  <value>               SSL Decryption Exclusion entry name

• 定義済みのエントリを使用して有効/無効にすることができます:

# set shared ssl-decrypt disabled-ssl-exclude-cert-from-predefined  [Start a list of values].

• Web サイトを、除外リストに対してテストするための定義済みの Test コマンド firewall

test ssl-exclude-list
> predefined   Test hostname in predefined SSL Exclude list
> shared       Test hostname in shared SSL Exclude list
> vsys         Test hostname in vsys SSL Exclude list