Datenverkehr, der für Sitzungen mit Clientzertifikaten nicht entschlüsselt SSL wird.
19687
Created On 07/16/20 19:01 PM - Last Modified 03/26/21 18:30 PM
Symptom
URL example.host.com wird nicht von der entschlüsselt. firewall
- Das firewall Entschlüsselungsprofil und die für die Entschlüsselung verwendeten Zertifikate scheinen korrekt zu sein.
- Wir erwarten, dass der Datenverkehr von der Quellzone zur Zielzone mit der Entschlüsselungsregel übereinstimmen sollte, aber die Datenverkehrsprotokolle zeigen nicht an, dass er entschlüsselt wurde.
- Wir sehen auch nicht, dass Domain-example.host.com der Entschlüsselungsausschlussliste hinzugefügt werden GUI auf : Device > Zertifikatsverwaltung > SSL Entschlüsselungsausschluss
- Um weitere Fehler zu beheben, sehen Sie sich Folgendes firewall CLI an:
Show Systemeinstellung SSL-entschlüsselt ausschließen-Cache
Der Exclude-Cache enthält die IPs für example.host.com (98.115.16.231, 65.210.90.11), die von nslookup abgerufen wurden.
VSYS SERVER APP TIMEOUT REASON DECRYPTED_APP PROFILE EXCLUSION_LIST_MATCH
1 65.210.90.11:443 ssl 9185 SSL_CLIENT_CERT undecided THD-Decryption-profile No
1 98.115.16.231:443 ssl 4002 SSL_CLIENT_CERT undecided THD-Decryption-profile No
- Nach dem Einrichten der Filter für den Datenverkehr auf der firewall können wir uns auch die entsprechenden globalen Zähler ansehen:
show counter global | match proxy
proxy_exclude_by_cache 11009 0 info proxy pktproc Number of ssl sessions bypassed proxy because of exclusion cache
Environment
- All PAN-OS
- Palo Alto firewall .
- SSL Entschlüsselung konfiguriert.
Cause
In der Ausgabe "Systemeinstellung ssl-decrypt exclude-cache" wird die Ausgabe "SSL_CLIENT_CERT" ausgegeben, dass die Site eine zertifikatbasierte Clientauthentifizierung durchführt.
A Clientzertifikat kann nicht gefälscht werden, da Sie kein Clientzertifikat generieren können, das dem CA vom Server angeforderten entspricht. firewall
Der globale Leistungsindikator proxy_exclude_by_cache wird erhöht, da der Client eine Zertifikatsüberprüfungsnachricht sendet, die wir nicht unterstützen.
Resolution
Eine Entschlüsselung ist nicht möglich, wenn ein Client, der eine Verbindung herstellt, SSL Clientzertifikate verwendet.
Additional Information
Live-Community-Diskussion: https://live.paloaltonetworks.com/t5/general-topics/ssl-decrypt-exclude-cache-ssl-client-cert/td-p/235152#