如何确定 SSL 解密故障问题的根本原因
154555
Created On 09/26/18 13:47 PM - Last Modified 12/02/22 19:12 PM
Symptom
- 如何识别由于不受支持的密码套件而导致的解密失败。
- 查看以下兼容性矩阵以确认当前 支持的密码套件
:
Environment
- PAN-OS
- SSL 解密
Cause
在此示例中, SSL 代理解密失败,因为服务器仅支持迪菲-赫尔曼 DH () 和椭圆技术曲线临时迪菲-赫尔曼 ECDHE ()。
按照以下步骤确认问题:
- 从 Palo Alto 网络设备运行数据包捕获( 请参阅如何运行数据包捕获)。 检查客户端发送的客户端 Hello 数据包以及服务器发送的响应数据包。 查找 "握手失败", 如下图所示。
- 查看客户端或帕洛阿尔托网络设备支持的密码套件, 客户您好包。
- 使用 SSL 扫描工具 https://www.ssllabs.com/ssltest/index.html,找出哪些密码套件由服务器支持。 请参见以下示例:
上面的输出确认问题是由于不支持的密码套件造成的。
Resolution
创建"无解密 policy "。
- URL为该站点创建自定义类别。
- 转到>类别的>对象 URL 。
- 单击 "添加" 按钮。
- 命名自定义 URL 类别。
- 单击 "添加" 按钮, 然后添加服务器的站点并提交。
- 创建一个解密 Policy 与该网站的无解密操作 URL 。
- 转到政策 > 解密。
- 选择解密规则。
- 克隆解密规则。
- 将克隆解密移 Policy 到解密之上 Policy 。
- 单击克隆解密 Policy > URL 类别。
- 单击 "添加" 按钮。
- 添加 URL 网站并提交。