Trafic non décrypté pour les sessions à SSL l’aide de certificats clients.

• Le firewall profil de décryptage et les certificats utilisés pour le décryptage semblent corrects.
• Nous nous attendons à ce que le trafic de la zone source à la zone de destination corresponde à la règle de décryptage, mais les journaux de trafic ne montrent pas qu’il a été décrypté.
• Nous ne voyons pas non plus ce domaine example.host.com ajouté à la liste d’exclusion de décryptage sur : Device > Certificate Management > Exclusion GUI de SSL décryptage
• Pour dépanner plus loin, nous regardons ce qui suit sur le firewall CLI :

VSYS SERVER APP TIMEOUT REASON DECRYPTED_APP PROFILE EXCLUSION_LIST_MATCH
1 65.210.90.11:443 ssl 9185 SSL_CLIENT_CERT undecided THD-Decryption-profile No
1 98.115.16.231:443 ssl 4002 SSL_CLIENT_CERT undecided THD-Decryption-profile No

• Après la mise en place des filtres pour le trafic sur firewall le nous pouvons également regarder les compteurs mondiaux correspondants:

show counter global | match proxy
proxy_exclude_by_cache 11009 0 info proxy pktproc Number of ssl sessions bypassed proxy because of exclusion cache

• Unll PAN-OS
• Palo Alto firewall .
• SSL Décryptage configuré.

Dans la sortie "afficher le système de réglage ssl-décrypte exclude-cache« , le" SSL_CLIENT_CERT" signifie que le site fait l’authentification client basée sur un certificat.

A certificat client ne peut pas être usurpé parce que vous ne pouvez pas générer un certificat client à la volée qui correspond à la demande du CA serveur, de sorte que firewall l’ajoute au cache exclure.

La contre-proxy_exclude_by_cache mondiale est incrémente parce que le client envoie un message de vérification de certificat, que nous ne soutenons pas