Die SSL Entschlüsselung kann nicht in Azure mit App Gateway verwendet werden. AZ

Die SSL Entschlüsselung kann nicht in Azure mit App Gateway verwendet werden. AZ

15011
Created On 06/05/19 21:55 PM - Last Modified 03/26/21 17:41 PM


Symptom


  • Wenn die SSL Entschlüsselung konfiguriert ist, können die Websites nicht geladen werden, und die folgende Meldung wird angezeigt.
This page can’t be displayed
Turn on TLS 1.0, TLS 1.1, and TLS 1.2 in Advanced settings and try connecting to https://<url name> again.
If this error persists, it is possible that this site uses an unsupported protocol or cipher suite such as
RC4 (link for the details),   which is not considered secure. Please contact your site administrator.
  • Beim Durchführen von Paketerfassungen wird Folgendes angezeigt:
    • Das Client-Hallo, das angezeigt wird, verwendet Verschlüsselungs-ECDHE_RSA_WITH_AES_256_GCM_SHA384 die in der Tat unterstützt wird und für Vorwärtsproxy- und eingehende Inspektionen in Ordnung ist.
    • Wenn es zum Server hello kommt, sieht es nicht genügend Daten und der Schlüsselaustausch schlägt aufgrund der nicht unterstützten Kurve mit der Meldung"nicht unterstützt curve_name 29" & "parse_server_key_exchange_msg(ecdhe) fehlgeschlagen" fehl."
  • Bei der Einnahme von Global Counters wird Folgendes angezeigt:
    proxy_process 1 0 info proxy pktproc Number of flows go through proxy
proxy_client_hello_failed 1 0 warn proxy pktproc Number of ssl sessions bypassed proxy because client hello can't be parsed
proxy_reverse_unsupported_protocol 1 0 warn proxy pktproc The number of sessions failed for reverse proxy because of ssl protocol
proxy_decrypt_unsupport_param_overall 1 0 info proxy pktproc Overall number of decrypted packet unsupport param failure
proxy_decrypt_error_overall 1 0 info proxy pktproc Overall number of decrypt error(not including cert validation and unsupport param)
proxy_sessions 1 0 info proxy pktproc Current number of proxy sessions
proxy_sessions_inbound 1 0 info proxy pktproc Current number of SSL-Inbound decrypted sessions (minus DHE/ECDHE)
ssl_client_sess_ticket 1 0 info ssl pktproc Number of ssl session with client sess ticket ext
ssl_extended_master_secret 1 0 info ssl pktproc Number of ssl session created using extended master extension
  • Bei der Untersuchung der Sitzungsdetails:
    test@AZEUS2SVOPFW01.IEDGE> show session id 122012
.....
tracker stage firewall : proxy decrypt failure
end-reason : decrypt-error

Environment


  • Microsoft Azure Gateway
  • PAN-OS 8.1 und höher.

Cause


Palo Alto unterstützt nur NIST- genehmigte Elliptische Kurven für SSL /Decryption aus der Liste unten.
  • * P-192 (secp192r1)
  • * P-224 (secp224r1)
  • * P-256 (secp256r1)
  • * P-384 (secp384r1)
  • * P-521 (secp521r1)
Referenz: PAN-OS 8.1 Decryption Cipher Suites

 

Resolution


  • Das ist bei Palo Alto kein Problem. Es funktioniert wie erwartet innerhalb der Design-Grenzen.
  • x25519 muss deaktiviert werden und alle anderen benannten Kurven von Ihrem Server, damit es ohne Entschlüsselungsprobleme erfolgreich arbeiten kann.
  • Wenn wir x25519 verwenden müssen, wenden Sie sich bitte an Ihre SE für eine Feature-Anfrage.

So deaktivieren Sie den Schlüsselaustausch von curve25519 / x25519 unter Windows Server 2016
 

Additional Information



So überprüfen Sie globale Leistungsindikatoren für A Spezifische Quell- und IP Zieladresse
Zum Anzeigen aktiver Sitzungsinformationen mithilfe der CLI .


 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PM6TCAW&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language