復号化の失敗の問題の根本原因を特定する方法 SSL
154543
Created On 09/26/18 13:47 PM - Last Modified 12/02/22 19:12 PM
Symptom
- サポートされていない暗号スイートによる復号化の失敗を特定する方法。
- 現在サポートされている暗号スイートを確認するには、次の互換性マトリックスを確認してください。
:
Environment
- PAN-OS
- SSL 復 号 化
Cause
この例では、サーバーが SSL Diffie-Hellman ( DH ) および Elliptec カーブ エフェメラル ディフィー ヘルマン ( ) のみをサポートしているため、プロキシ復号化が失敗 ECDHE します。
問題を確認するには、次の手順に従います。
- パロアルトネットワークスデバイスからパケットキャプチャを実行します(「 パケットキャプチャの実行方法」を参照)。 クライアントから送信されたクライアント Hello パケットと、サーバーから送信された応答パケットを調べます。 以下に示す "ハンドシェイクエラー" を探します。
- クライアントまたはパロアルトネットワークデバイスによってサポートされている暗号スイートを、お客様のハローパケットで表示します。
- スキャン SSL ツール https://www.ssllabs.com/ssltest/index.htmlを使用して、サーバーでサポートされている暗号スイートを確認します。 次の例を参照してください。
上記の出力は、問題がサポートされていない暗号スイートによるものであることを確認します。