如何配置 SSL 解密
393376
Created On 09/26/18 13:44 PM - Last Modified 04/19/21 21:26 PM
Resolution
视频教程:如何配置 SSL 解密
此视频旨在帮助您理解和配置 SSL PAN-OS 6.1 上的解密。
我们将涵盖以下主题:
什么是 SSL 解密?
SSL (安全插座层)是一个安全协议,加密数据,以帮助保持信息安全,而在互联网上。
SSL 证书有一个关键对:公共和私人,共同建立连接。
PAN-OS 可以通过 SSL firewall SSL 虚拟线、第 2 层或第 3 层模式的接口进行解密和检查。 解密库用来配置哪些交通进行解密。 特别是,解密可以基于 URL 类别以及源用户和源/目标地址。 一旦流量解密,可以检测和控制隧道应用,并可以检查解密数据是否存在威胁/ URL 过滤/文件阻塞/数据过滤。 解密的流量永远不会从设备上发送。
入站 SSL 解密
在入站 SSL 解密的情况下,入站流量将定向到内部 Web 服务器或设备。 此配置正确,管理员,导入的受保护的服务器证书和密钥的副本。 当 SSL 服务器证书加载在 firewall 上,并且 SSL policy 解密配置为入站流量时,设备可以解密并读取流量,因为它转发它。 对数据包进行任何更改,到内部服务器从客户端系统建立安全通道。 firewall然后,可以检测运行在此安全通道上的恶意内容和控制应用程序。
出站 SSL 解密( SSL 远期代理)
在出站 SSL 解密的情况下, firewall 代理出站 SSL 连接。 对于用户希望访问的网站, firewall 拦截出站 SSL 请求并实时生成证书。 PA-生成证书的有效期日期取自真实服务器证书的有效日期。
生成证书的颁发权限 PA- 是帕洛阿尔托网络设备。 如果 firewall "证书"不是现有层次结构的一部分,或者未添加到客户端的浏览器缓存中,则客户端在浏览到安全站点时会收到警告消息。 如果真正的服务器证书是由帕洛阿尔托网络不信任的权威机构颁发 firewall 的,那么解密证书使用第二个不受信任的 CA 密钥颁发。 解密证书可确保用户收到随后发生的中间人攻击的警告。需要确保对在 Palo Alto 网络上装载或生成证书
Firewall CA 的客户进行适当的证书管理
CA firewall ,因为证书管理局 CA () 需要通过在飞行中生成证书来正确解密流量 SSL 。 要么在自签名上创建, CA firewall 要么 CA 从您自己的基础设施导入下属 PKI 。 在与托管信任或将配置为信任的受托根相关的证书上选择 远期信托证书 CA 。鉴于 SSL 像委托、Verisign、Digicert 和 GoDaddy 这样的证书提供商不销售 CA,他们在解密中不支持 SSL 。
创建单独的自签名 CA 证书,并启用远期不信任证书标志,以确保 firewall 在服务器观察无效证书时,向客户出示他们不信任 firewall 的证书。
生成自签名证书:
- 从 firewall GUI ,转到 设备 > 证书管理 > 证书
- 单击 屏幕 底部的"生成"
- 对于证书名称(可以是任何东西),我们选择了 ssl 解密
- 对于通用名称,我们输入 Firewall 了"可信内部 IP ":172.16.77.1
- 在证书局旁边放置一个复选框,以创建证书管理局和 SSL 由证书本身签名的证书 Firewall - 172.16.77.1
- 如果你想要这个证书,有效期为 1 年以上,请进入加密设置,并选择 2 年或 730 天。 现在证书好 2 年了
- 如果您需要进行任何额外的证书属性,你可以在底部窗口内将这样做。
- 单击 "生成",然后请注意状态显示为有效。
- 单击 ssl 解密, 然后在 转发信托证书旁边放置一个复选标记,然后单击 OK 。 现在证书可以用于解密。
- 在主机的"可信根" CA 证书商店中部署证书。
如果使用自签名 CA , CA 则必须从该证书导出公共证书 firewall ,然后作为信任根安装 CA 在每个机器的浏览器上,以避免浏览器内出现不信任证书错误消息。 通常,网络管理员会审核并使用 GPO 此证书推送至每个工作站。
当涉及到 远期不信任证书时,重要的是要有一个单独的证书,是前 瞻信托证书所使用的证书的信任链之外。 原因是,如果同一证书在同一证书中启用了远期信托证书和远期不信任证书标志, firewall 则即使目的地服务器出示了无效证书,也会始终向主机出示他们信任的证书。
- 要手动导出公共 CA 证书,请返回设备>证书管理>证书的证书部分
- 选择我们刚刚创建的ssl 解密旁边的复选框,然后选择屏幕底部的"导出"
- 当"导出证书"屏幕显示时,取消 选中"导出私钥",因为它不需要
- 保持格式为 Base64编码证书 PEM () 并单击 OK,无需输入密码。 A 下载了cert_ssl解密.crt 的副本,现在需要转到客户端计算机上
使用 Google 驱动器 GPO 并将导出的证书推至所有客户端机器。 我们建议 GPO ,因为它允许 SSL 解密在"新"机器上正常工作。
- 将公开 CA 证书放在 Google 驱动器上,然后从客户端计算机访问 Google 驱动器。
- 下载到客户端计算机证书。
- 将证书安装到 IE 或镀铬上。
要安装证书:
- 选择证书(在 Windows 中,双击)。将显示证书属性。
- 选择 安装证书。系统会提示您保存此证书的地点。
- 选择将所有证书放在以下存储中,然后单击"浏览"。 我们建议您选择"受信任的根证书颁发机构",然后单击"下一步",然后"完成"。 显示导入成功 。
- 点击 OK
配置 SSL 解密规则
这些说明用于设置出站 SSL 解密( SSL 转发代理)。 如果您需要设置入站解密的说明 SSL ,请参阅管理指南(如下所示)以了解说明。
要设置 SSL 解密规则:
转到策略,然后解密。这是规则允许或解密 SSL 通过 firewall 。 你可以看到, I 已经有两个规则到位。一个规则是不要解密——不要解密 是名称,第二个规则是解密流量。
网络或安全管理员确定需要解密的内容。 以下是有关配置解密规则的一些建议 SSL :
- 在分阶段的办法的实施细则。 从解密的具体规则开始,然后监控 SSL 设备解密的典型连接数。
- 避免解密以下 URL 类别,因为用户可能认为这是对隐私的侵犯:
健康与医学
- 此外,不要解密服务器需要客户端证书(用于标识)的应用程序。
- URL在"自定义对象">对象内部创建自定义类别,然后在页面底部添加。给它起个名字: 不要解密
- 然后添加您不希望解密的网站
- 我们将 site-x.com 归入这一 URL 类。 我们也在添加 www.site-x.com, 因为即使这些看起来像相同的网页,他们是完全不同的
- 现在,将新 URL 类别放入" 不解密 "规则中。
如果您的安全 policy 需要通知用户其 SSL 连接将被解密,请使用设备>响应页面屏幕上的响应页面。 单击"禁用",然后检查 "启用 SSL "选择退出页面 选项并单击 OK 。
提交更改和测试解密
提交更改,以便我们可以测试客户端 SSL 解密。
从客户端计算机:
- 访问任何 SSL 网页,查看会话是否解密。
- 尝试看看是否 twitter.com 和 facebook.com 现身解密。 如果您可以访问该网站没有问题,然后解密工作正常。
- 从 WebGUI 转到 流量日志
- 查找 twitter 基 座,然后单击窗口左侧的放大镜。
- 在"标志"下, 在"标志 "下查找右侧的解密标志。 解 密 标志表示 SSL 解密工作正常。
然后检查日志是否记录了解密的会话。
另请参阅
有关从 Microsoft 证书服务器生成和导入证书的说明,以及更多文本形式的信息,请参阅 如何实施和测试 SSL 解密
有关 SSL 转发代理和入站检查解密模式差异的信息: SSL 远期代理和入站检查之间的差异
SSL 有关如何在文档形式中配置解密的其他信息,请参阅管理员指南:
有关 SSL 解密的更多信息,请访问 SSL 解密资源列表,因为它有一长串 SSL 仅涉及解密的文章。