Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Datenverkehr, der für Sitzungen mit Clientzertifikaten nicht en... - Knowledge Base - Palo Alto Networks

Datenverkehr, der für Sitzungen mit Clientzertifikaten nicht entschlüsselt SSL wird.

19687
Created On 07/16/20 19:01 PM - Last Modified 03/26/21 18:30 PM


Symptom


URL example.host.com wird nicht von der entschlüsselt. firewall
  • Das firewall Entschlüsselungsprofil und die für die Entschlüsselung verwendeten Zertifikate scheinen korrekt zu sein.
  • Wir erwarten, dass der Datenverkehr von der Quellzone zur Zielzone mit der Entschlüsselungsregel übereinstimmen sollte, aber die Datenverkehrsprotokolle zeigen nicht an, dass er entschlüsselt wurde.
  • Wir sehen auch nicht, dass Domain-example.host.com der Entschlüsselungsausschlussliste hinzugefügt werden GUI auf : Device > Zertifikatsverwaltung > SSL Entschlüsselungsausschluss
  • Um weitere Fehler zu beheben, sehen Sie sich Folgendes firewall CLI an:
Show Systemeinstellung SSL-entschlüsselt ausschließen-Cache

Der Exclude-Cache enthält die IPs für example.host.com (98.115.16.231, 65.210.90.11), die von nslookup abgerufen wurden.
 
VSYS SERVER APP TIMEOUT REASON DECRYPTED_APP PROFILE EXCLUSION_LIST_MATCH
1 65.210.90.11:443 ssl 9185 SSL_CLIENT_CERT undecided THD-Decryption-profile No
1 98.115.16.231:443 ssl 4002 SSL_CLIENT_CERT undecided THD-Decryption-profile No
  • Nach dem Einrichten der Filter für den Datenverkehr auf der firewall können wir uns auch die entsprechenden globalen Zähler ansehen:
show counter global | match proxy
proxy_exclude_by_cache 11009 0 info proxy pktproc Number of ssl sessions bypassed proxy because of exclusion cache

 


Environment


  • All PAN-OS
  • Palo Alto firewall .
  • SSL Entschlüsselung konfiguriert.


Cause


In der Ausgabe "Systemeinstellung ssl-decrypt exclude-cache" wird die Ausgabe "SSL_CLIENT_CERT" ausgegeben, dass die Site eine zertifikatbasierte Clientauthentifizierung durchführt.

A Clientzertifikat kann nicht gefälscht werden, da Sie kein Clientzertifikat generieren können, das dem CA vom Server angeforderten entspricht. firewall

Der globale Leistungsindikator proxy_exclude_by_cache wird erhöht, da der Client eine Zertifikatsüberprüfungsnachricht sendet, die wir nicht unterstützen.



Resolution


Eine Entschlüsselung ist nicht möglich, wenn ein Client, der eine Verbindung herstellt, SSL Clientzertifikate verwendet.

Additional Information


Live-Community-Diskussion: https://live.paloaltonetworks.com/t5/general-topics/ssl-decrypt-exclude-cache-ssl-client-cert/td-p/235152#
 


Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UtLCAU&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language