El tráfico no se descifra para SSL las sesiones mediante certificados de cliente.

• El firewall perfil de descifrado y los certificados utilizados para el descifrado parecen ser correctos.
• Esperamos que el tráfico de la zona de origen a la zona de destino debe coincidir con la regla de descifrado, pero los registros de tráfico no muestran que se descifró.
• Tampoco vemos que example.host.com de dominio agregados a la lista de exclusión de descifrado en GUI : Administración de certificados de > dispositivo > Exclusión de SSL descifrado
• Para solucionar problemas, consideramos lo siguiente firewall CLI en:

VSYS SERVER APP TIMEOUT REASON DECRYPTED_APP PROFILE EXCLUSION_LIST_MATCH
1 65.210.90.11:443 ssl 9185 SSL_CLIENT_CERT undecided THD-Decryption-profile No
1 98.115.16.231:443 ssl 4002 SSL_CLIENT_CERT undecided THD-Decryption-profile No

• Después de configurar los filtros para el tráfico en el firewall también podemos mirar los contadores globales correspondientes:

show counter global | match proxy
proxy_exclude_by_cache 11009 0 info proxy pktproc Number of ssl sessions bypassed proxy because of exclusion cache

• All PAN-OS
• Palo Alto firewall .
• SSL Descifrado configurado.

En la salida "show system setting ssl-decrypt exclude-cache", el "SSL_CLIENT_CERT" significa que el sitio está haciendo la autenticación de cliente basada en certificados.

A el certificado de cliente no se puede suplantar porque no se puede generar un certificado de cliente sobre la marcha que coincida con el CA solicitado por el servidor, por lo que lo firewall agrega a la caché de exclusión.

El contador global proxy_exclude_by_cache está incrementando porque el cliente envía un mensaje de verificación de certificado, que no soportamos