如何确定 SSL 解密故障问题的根本原因
154555
Created On 09/26/18 13:47 PM - Last Modified 12/02/22 19:12 PM
Symptom
- 如何识别由于不受支持的密码套件而导致的解密失败。
- 查看以下兼容性矩阵以确认当前 支持的密码套件
:
Environment
- PAN-OS
- SSL 解密
Cause
在此示例中, SSL 代理解密失败,因为服务器仅支持迪菲-赫尔曼 DH () 和椭圆技术曲线临时迪菲-赫尔曼 ECDHE ()。
按照以下步骤确认问题:
- 从 Palo Alto 网络设备运行数据包捕获( 请参阅如何运行数据包捕获)。 检查客户端发送的客户端 Hello 数据包以及服务器发送的响应数据包。 查找 "握手失败", 如下图所示。
- 查看客户端或帕洛阿尔托网络设备支持的密码套件, 客户您好包。
- 使用 SSL 扫描工具 https://www.ssllabs.com/ssltest/index.html,找出哪些密码套件由服务器支持。 请参见以下示例:
上面的输出确认问题是由于不支持的密码套件造成的。