无法解 SSL 密在 Azure 上工作与 AZ 应用程序网关

• SSL解密时，网站无法加载，并显示以下消息。

This page can’t be displayed
Turn on TLS 1.0, TLS 1.1, and TLS 1.2 in Advanced settings and try connecting to https://<url name> again.
If this error persists, it is possible that this site uses an unsupported protocol or cipher suite such as
RC4 (link for the details),   which is not considered secure. Please contact your site administrator.

• 执行数据包捕获时，可以看到以下内容：
  • 看到的客户端 hello 使用密码ECDHE_RSA_WITH_AES_256_GCM_SHA384确实支持，并且对转发代理和入站检查都很好。
  • 当它到达服务器 hello 时，它看不到足够的数据，并且密钥交换失败，因为消息"不受支持curve_name 29" 和"parse_server_key_exchange_msg（ecdhe） 失败"。
• 使用全局计数器时，可以看到以下内容：

  proxy_process 1 0 info proxy pktproc Number of flows go through proxy
  proxy_client_hello_failed 1 0 warn proxy pktproc Number of ssl sessions bypassed proxy because client hello can't be parsed
  proxy_reverse_unsupported_protocol 1 0 warn proxy pktproc The number of sessions failed for reverse proxy because of ssl protocol
  proxy_decrypt_unsupport_param_overall 1 0 info proxy pktproc Overall number of decrypted packet unsupport param failure
  proxy_decrypt_error_overall 1 0 info proxy pktproc Overall number of decrypt error(not including cert validation and unsupport param)
  proxy_sessions 1 0 info proxy pktproc Current number of proxy sessions
  proxy_sessions_inbound 1 0 info proxy pktproc Current number of SSL-Inbound decrypted sessions (minus DHE/ECDHE)
  ssl_client_sess_ticket 1 0 info ssl pktproc Number of ssl session with client sess ticket ext
  ssl_extended_master_secret 1 0 info ssl pktproc Number of ssl session created using extended master extension

• 调查会话详细信息时：

  test@AZEUS2SVOPFW01.IEDGE> show session id 122012
  .....
  tracker stage firewall : proxy decrypt failure
  end-reason : decrypt-error

• 微软 Azure 网关
• PAN-OS 8.1 及以上。

• P-192*（秒192r1）
• P-224*（秒224r1）
• P-256*（秒256r1）
• P-384*（秒384r1）
• P-521*（秒521r1）

• 这不是帕洛阿尔托的问题。 它在设计限制内如预期的那样工作。
• x25519 需要禁用和服务器中任何其他命名曲线，以便它可以成功工作，而不会有任何解密问题。
• 如果我们需要使用x25519，请联系您的 SE 功能请求。