管理证书排除列表
21537
Created On 09/25/18 20:34 PM - Last Modified 03/26/21 17:01 PM
Symptom
管理员在 8.0 中对证书排除列表拥有更多的控制权 PAN-OS 。 PAN-OS 维护预先定义的证书排除列表,其中列出 SSL 了绕过解密的证书的 CN。 PAN-OS 8.0 允许管理员访问此列表,通过内容更新交付,通过 GUI CLI 并允许管理员启用/禁用预先定义的条目,并将自定义条目添加到现有列表中。
Environment
- PAN-OS 8.0
Resolution
该列表可以通过 设备选项卡访问>证书管理> SSL 解密排除。
该列表显示了三种类型的条目
- 预定义: 通过内容更新推送
- 共享: 自定义管理员创建的共享条目
- 自定义 VSYS 每个: VSYS 由管理员创建的特定自定义条目
预定义的条目可以修改、禁用或启用 VSYS 。
列表中的所有条目都必须是唯一的: 如果预先定义的条目与现有的自定义项匹配, 则自定义项优先并保持不变
列表中的条目与 SNI 证书中"客户你好"或 CN / SAN 名称中的要求进行比较
- 如果与 "排除" 列表中启用的条目发生匹配, 则将绕过该网站的解密
- 如果没有匹配发生,那么 firewall 将解密流量
预先定义的共享 VSYS 列表可能具有相同的主机名。 例如, 他们都有 "icloud.com" 的主机名, 具有不同的状态 "启用" 或 "禁用"
决定排除的数据平面的顺序是: VSYS, 共享, 预先定义
手动添加排除:
- SSL 解密排除> 添加 条目
- 主机名: 需要从解密中排除的证书的通用名称。 它是大小写敏感。
- 描述: A 自定义消息
- 选中"排除"单选按钮
可通过 CLI
- 可以使用以下方法配置新的排除项:
# set shared ssl-decrypt ssl-exclude-cert *.bankofamerica.com *.bankofamerica.com *.ycharts.com *.ycharts.com <value> SSL Decryption Exclusion entry name
- 可以启用/禁用预定义项, 以便使用:
# set shared ssl-decrypt disabled-ssl-exclude-cert-from-predefined [Start a list of values].
预先定义的测试命令,用于测试网站上的排除列表 firewall
test ssl-exclude-list > predefined Test hostname in predefined SSL Exclude list > shared Test hostname in shared SSL Exclude list > vsys Test hostname in vsys SSL Exclude list
Additional Information
- 解密排除中的主机名 SSL 对案例敏感。 请查看以下示例:
PA-3060(active)> test ssl-exclude-list predefined hostname whatsapp.net Hostname 'whatsapp.net' is excluded from decryption PA-3060(active)> test ssl-exclude-list predefined hostname Whatsapp.net Hostname 'Whatsapp.net' is not excluded from decryption PA-3060(active)>