SSL使用客户端证书的会话未解密流量。
19687
Created On 07/16/20 19:01 PM - Last Modified 03/26/21 18:30 PM
Symptom
URL example.host.com 不是被解密的 firewall 。
- firewall解密配置文件和用于解密的证书似乎是正确的。
- 我们预计从源区域到目标区域的流量应与解密规则匹配,但流量日志不会显示已解密。
- 我们也没有看到该域 example.host.com添加到解密排除列表上 GUI :设备>证书管理> SSL 解密排除
- 要进一步排除故障,请查看以下问题 firewall CLI :
显示系统设置 ssl 解密排除-缓存
VSYS SERVER APP TIMEOUT REASON DECRYPTED_APP PROFILE EXCLUSION_LIST_MATCH
1 65.210.90.11:443 ssl 9185 SSL_CLIENT_CERT undecided THD-Decryption-profile No
1 98.115.16.231:443 ssl 4002 SSL_CLIENT_CERT undecided THD-Decryption-profile No
- 设置流量过滤器后, firewall 我们还可以查看相应的全球计数器:
show counter global | match proxy
proxy_exclude_by_cache 11009 0 info proxy pktproc Number of ssl sessions bypassed proxy because of exclusion cache
Environment
- 所有 PAN-OS
- 帕洛阿尔托 firewall .
- SSL 已配置解密。
Cause
在"显示系统设置 ssl 解密排除缓存" 输出中,"SSL_CLIENT_CERT"表示网站正在执行基于证书的客户端身份验证。
A 客户端证书不能被欺骗,因为您无法在飞行中生成与服务器请求匹配的客户端证书 CA ,因此 firewall 将其添加到排除缓存中。
全球计数 器proxy_exclude_by_cache 正在增加,因为客户发送证书验证消息,我们不支持
Resolution
如果启动连接的客户使用客户端证书,则无法解密 SSL 。
Additional Information
实时社区讨论:https://live.paloaltonetworks.com/t5/general-topics/ssl-decrypt-exclude-cache-ssl-client-cert/td-p/235152#