Identifizieren der Ursache für SSL Entschlüsselungsfehler

Identifizieren der Ursache für SSL Entschlüsselungsfehler

154527
Created On 09/26/18 13:47 PM - Last Modified 12/02/22 19:12 PM


Symptom


  • Identifizieren von Entschlüsselungsfehlern aufgrund einer nicht unterstützten Verschlüsselungssuite.
  • Sehen Sie sich die folgende Kompatibilitätsmatrix an, um die derzeit unterstützten Cipher Suites zu bestätigen.



:

 

Environment


  • PAN-OS
  • SSL Entschlüsselung

Cause


In diesem Beispiel schlägt die SSL Proxyentschlüsselung fehl, da der Server nur Diffie-Hellman ( DH ) und Elliptec Curve Ephemeral Diffie-Hellman ( ECDHE unterstützt.
Führen Sie die folgenden Schritte aus, um das Problem zu bestätigen:
  1. Führen Sie eine Paketerfassung vom Palo Alto Networks-Gerät aus (siehe Ausführen einer Paketerfassung). Prüfen Sie Client Hello-Pakete, die vom Client gesendet werden, und die Antwort Pakete, die vom Server gesendet werden. Suchen Sie nach "Handshake-Versagen", das unten gezeigt wird.
    Schritt-1.PNG
  2. Sehen Sie sich die Chiffrier Suiten an, die vom Client oder Palo Alto Networks-Gerät in den Client hello-Paketen unterstützt werden.
    Schritt-2.PNG
  3. Finden Sie mit dem SSL Scantool https://www.ssllabs.com/ssltest/index.htmlheraus, welche Verschlüsselungssammlungen vom Server unterstützt werden. Siehe dieses Beispiel:
    Schritt-3.PNG

Die obige Ausgabe bestätigt, dass das Problem auf nicht unterstützte Chiffrier Suiten zurückzuführen ist.

Resolution


Erstellen Sie eine "Keine policy Entschlüsselung".

  1. Erstellen Sie eine benutzerdefinierte URL Kategorie für diese Website.
    1. Wechseln Sie zu > Objekte > URL Kategorie.
    2. Klicken Sie auf den Knopf hinzufügen.
    3. Benennen Sie die benutzerdefinierte URL Kategorie.
    4. Klicken Sie auf den Knopf hinzufügen und fügen Sie dann die Website des Servers hinzu und verpflichten Sie.
      WA1.PNG
  2. Erstellen Sie eine Entschlüsselung Policy mit einer Aktion "Keine Entschlüsselung" dieser URL Website.
    1. Richtlinien zur > Entschlüsselung.
    2. Wählen Sie die Entschlüsselungs Regel.
    3. Klonen Sie die Entschlüsselungs Regel.
    4. Verschieben Sie die Klonentschlüsselung Policy über die Entschlüsselung Policy .
    5. Klicken Sie auf die Klonentschlüsselung Policy > URL Kategorie.
    6. Klicken Sie auf den Knopf hinzufügen.
    7. Fügen Sie die Website hinzu, URL und übernehmen Sie den Commit.
      WA2.PNG
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CloUCAS&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language