復号化の失敗の問題の根本原因を特定する方法 SSL

復号化の失敗の問題の根本原因を特定する方法 SSL

154543
Created On 09/26/18 13:47 PM - Last Modified 12/02/22 19:12 PM


Symptom


  • サポートされていない暗号スイートによる復号化の失敗を特定する方法。
  • 現在サポートされている暗号スイートを確認するには、次の互換性マトリックスを確認してください。



:

 

Environment


  • PAN-OS
  • SSL 復 号 化

Cause


この例では、サーバーが SSL Diffie-Hellman ( DH ) および Elliptec カーブ エフェメラル ディフィー ヘルマン ( ) のみをサポートしているため、プロキシ復号化が失敗 ECDHE します。
問題を確認するには、次の手順に従います。
  1. パロアルトネットワークスデバイスからパケットキャプチャを実行します(「 パケットキャプチャの実行方法」を参照)。 クライアントから送信されたクライアント Hello パケットと、サーバーから送信された応答パケットを調べます。 以下に示す "ハンドシェイクエラー" を探します。
    ステップ 1.PNG
  2. クライアントまたはパロアルトネットワークデバイスによってサポートされている暗号スイートを、お客様のハローパケットで表示します。
    ステップ2.PNG
  3. スキャン SSL ツール https://www.ssllabs.com/ssltest/index.htmlを使用して、サーバーでサポートされている暗号スイートを確認します。 次の例を参照してください。
    ステップ3。PNG

上記の出力は、問題がサポートされていない暗号スイートによるものであることを確認します。

Resolution


「復号化なし policy 」を作成する。

  1. そのサイトのカスタム URL カテゴリを作成します。
    1. [カテゴリ>オブジェクト>に移動 URL します。
    2. [追加] ボタンをクリックします。
    3. カスタム カテゴリに名前を URL 付けます。
    4. [追加] ボタンをクリックし、サーバーのサイトを追加してコミットします。
      WA1.PNG
  2. Policyそのサイトの復号化なしアクションを使用して復号化を作成 URL します。
    1. ポリシーに移動 > 復号化します。
    2. 復号化ルールを選択します。
    3. 復号化ルールのクローンを作成します。
    4. クローン復号化を復号化 Policy の上に移動 Policy します。
    5. [クローン復号化 Policy ]>カテゴリをクリック URL します。
    6. [追加] ボタンをクリックします。
    7. サイトを追加 URL してコミットします。
      WA2.PNG
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CloUCAS&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language