SSL使用客户端证书的会话未解密流量。

SSL使用客户端证书的会话未解密流量。

15187
Created On 07/16/20 19:01 PM - Last Modified 03/26/21 18:30 PM


Symptom


URL example.host.com 不是被解密的 firewall 。
  • firewall解密配置文件和用于解密的证书似乎是正确的。
  • 我们预计从源区域到目标区域的流量应与解密规则匹配,但流量日志不会显示已解密。
  • 我们也没有看到该域 example.host.com添加到解密排除列表上 GUI :设备>证书管理> SSL 解密排除
  • 要进一步排除故障,请查看以下问题 firewall CLI :
显示系统设置 ssl 解密排除-缓存

排除缓存包括从 nslookup 检索example.host.com (98.115.16.231, 65.210.90.11) 的 IP
 
VSYS SERVER APP TIMEOUT REASON DECRYPTED_APP PROFILE EXCLUSION_LIST_MATCH
1 65.210.90.11:443 ssl 9185 SSL_CLIENT_CERT undecided THD-Decryption-profile No
1 98.115.16.231:443 ssl 4002 SSL_CLIENT_CERT undecided THD-Decryption-profile No
  • 设置流量过滤器后, firewall 我们还可以查看相应的全球计数器:
show counter global | match proxy
proxy_exclude_by_cache 11009 0 info proxy pktproc Number of ssl sessions bypassed proxy because of exclusion cache

 

Environment


  • 所有 PAN-OS
  • 帕洛阿尔托 firewall .
  • SSL 已配置解密。

Cause


在"显示系统设置 ssl 解密排除缓存" 输出中,"SSL_CLIENT_CERT"表示网站正在执行基于证书的客户端身份验证。

A 客户端证书不能被欺骗,因为您无法在飞行中生成与服务器请求匹配的客户端证书 CA ,因此 firewall 将其添加到排除缓存中。

全球计数 器proxy_exclude_by_cache 正在增加,因为客户发送证书验证消息,我们不支持

Resolution


如果启动连接的客户使用客户端证书,则无法解密 SSL 。

Additional Information


实时社区讨论:https://live.paloaltonetworks.com/t5/general-topics/ssl-decrypt-exclude-cache-ssl-client-cert/td-p/235152#
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UtLCAU&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language