クライアント証明書を使用するセッションのトラフィックが復号されない SSL 。
19687
Created On 07/16/20 19:01 PM - Last Modified 03/26/21 18:30 PM
Symptom
URL example.host.com は、 によって解読されません firewall 。
- firewall復号化プロファイルと復号化に使用される証明書は正しいように見えます。
- 送信元ゾーンから宛先ゾーンへのトラフィックは復号ルールと一致する必要がありますが、トラフィック ログには復号されたトラフィックログは表示されません。
- また、ドメイン example.host.comが復号除外リストに追加されているのも表示されません GUI : デバイス>証明書の管理> SSL 復号除外
- さらにトラブルシューティングを行うには、 で次の項目を参照 firewall CLI してください。
システム設定を表示する ssl-復号化除外-キャッシュ
VSYS SERVER APP TIMEOUT REASON DECRYPTED_APP PROFILE EXCLUSION_LIST_MATCH
1 65.210.90.11:443 ssl 9185 SSL_CLIENT_CERT undecided THD-Decryption-profile No
1 98.115.16.231:443 ssl 4002 SSL_CLIENT_CERT undecided THD-Decryption-profile No
- トラフィックのフィルタを設定したら firewall 、対応するグローバル カウンタも確認できます。
show counter global | match proxy
proxy_exclude_by_cache 11009 0 info proxy pktproc Number of ssl sessions bypassed proxy because of exclusion cache
Environment
- すべて PAN-OS
- パロ アルト firewall .
- SSL 復号化が構成されました。
Cause
"表示システム設定 ssl-decrypt exclude-cache" 出力では、SSL_CLIENT_CERT サイトが証明書ベースのクライアント認証を行っていることを意味します。
A クライアント証明書は、 CA サーバーが要求したクライアント証明書と一致するクライアント証明書をその場で生成できないため、スプーフィングできません firewall 。
クライアントが証明書確認メッセージを送信するため、グローバル カウンタ proxy_exclude_by_cache が増加しています。
Resolution
接続を確立しているクライアントが SSL クライアント証明書を使用している場合、復号化はできません。
Additional Information
ライブコミュニティディスカッション:https://live.paloaltonetworks.com/t5/general-topics/ssl-decrypt-exclude-cache-ssl-client-cert/td-p/235152#