アプリ SSL ゲートウェイを使用して Azure で動作するように復号化を取得できません AZ 。

アプリ SSL ゲートウェイを使用して Azure で動作するように復号化を取得できません AZ 。

15009
Created On 06/05/19 21:55 PM - Last Modified 03/26/21 17:41 PM


Symptom


  • SSL復号化が構成されている場合、Web サイトの読み込みに失敗し、次のメッセージが表示されます。
This page can’t be displayed
Turn on TLS 1.0, TLS 1.1, and TLS 1.2 in Advanced settings and try connecting to https://<url name> again.
If this error persists, it is possible that this site uses an unsupported protocol or cipher suite such as
RC4 (link for the details),   which is not considered secure. Please contact your site administrator.
  • パケット キャプチャを実行すると、次のことが確認できます。
    • 見られるクライアント hello は、フォワード プロキシ検査とインバウンド検査の両方でサポートされ、問題なくサポートされている暗号ECDHE_RSA_WITH_AES_256_GCM_SHA384を使用します。
    • サーバー hello に到達すると、十分なデータが表示されず、"サポートされていないcurve_name 29" および "parse_server_key_exchange_msg(ecdhe) が失敗しました" というメッセージがサポートされていない曲線が原因でキー交換が失敗します。
  • グローバルカウンタを取ると、次のことが発生します。
    proxy_process 1 0 info proxy pktproc Number of flows go through proxy
proxy_client_hello_failed 1 0 warn proxy pktproc Number of ssl sessions bypassed proxy because client hello can't be parsed
proxy_reverse_unsupported_protocol 1 0 warn proxy pktproc The number of sessions failed for reverse proxy because of ssl protocol
proxy_decrypt_unsupport_param_overall 1 0 info proxy pktproc Overall number of decrypted packet unsupport param failure
proxy_decrypt_error_overall 1 0 info proxy pktproc Overall number of decrypt error(not including cert validation and unsupport param)
proxy_sessions 1 0 info proxy pktproc Current number of proxy sessions
proxy_sessions_inbound 1 0 info proxy pktproc Current number of SSL-Inbound decrypted sessions (minus DHE/ECDHE)
ssl_client_sess_ticket 1 0 info ssl pktproc Number of ssl session with client sess ticket ext
ssl_extended_master_secret 1 0 info ssl pktproc Number of ssl session created using extended master extension
  • セッションの詳細を調査する場合:
    test@AZEUS2SVOPFW01.IEDGE> show session id 122012
.....
tracker stage firewall : proxy decrypt failure
end-reason : decrypt-error

Environment


  • マイクロソフト Azure ゲートウェイ
  • PAN-OS 8.1以上。

Cause


パロアルトは NIST- SSL 、以下のリストから/復号化のための承認された楕円曲線のみをサポートしています。
  • * P-192 (secp192r1)
  • * P-224 (secp224r1)
  • * P-256 (secp256r1)
  • * P-384 (secp384r1)
  • * P-521 (secp521r1)
参照: PAN-OS 8.1 復号化暗号スイート

 

Resolution


  • これはパロアルトの問題ではありません。 設計の制限内で期待どおりに動作しています。
  • x25519 は、サーバーから無効にし、他の名前付き曲線を無効にして、復号化の問題がなくても正常に動作するようにする必要があります。
  • x25519を使用する必要がある場合は、 SE 機能のリクエストを求めてお問い合わせください。

Windows Server 2016 で曲線 25519/ x25519 キー交換を無効にする方法
 

Additional Information



グローバル カウンタ A のチェック方法特定の送信元アドレスと宛先 IP アドレス
使用してアクティブな CLI セッション情報を表示する方法


 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PM6TCAW&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language