Identifizieren der Ursache für SSL Entschlüsselungsfehler
154527
Created On 09/26/18 13:47 PM - Last Modified 12/02/22 19:12 PM
Symptom
- Identifizieren von Entschlüsselungsfehlern aufgrund einer nicht unterstützten Verschlüsselungssuite.
- Sehen Sie sich die folgende Kompatibilitätsmatrix an, um die derzeit unterstützten Cipher Suites zu bestätigen.
:
Environment
- PAN-OS
- SSL Entschlüsselung
Cause
In diesem Beispiel schlägt die SSL Proxyentschlüsselung fehl, da der Server nur Diffie-Hellman ( DH ) und Elliptec Curve Ephemeral Diffie-Hellman ( ECDHE unterstützt.
Führen Sie die folgenden Schritte aus, um das Problem zu bestätigen:
- Führen Sie eine Paketerfassung vom Palo Alto Networks-Gerät aus (siehe Ausführen einer Paketerfassung). Prüfen Sie Client Hello-Pakete, die vom Client gesendet werden, und die Antwort Pakete, die vom Server gesendet werden. Suchen Sie nach "Handshake-Versagen", das unten gezeigt wird.
- Sehen Sie sich die Chiffrier Suiten an, die vom Client oder Palo Alto Networks-Gerät in den Client hello-Paketen unterstützt werden.
- Finden Sie mit dem SSL Scantool https://www.ssllabs.com/ssltest/index.htmlheraus, welche Verschlüsselungssammlungen vom Server unterstützt werden. Siehe dieses Beispiel:
Die obige Ausgabe bestätigt, dass das Problem auf nicht unterstützte Chiffrier Suiten zurückzuführen ist.