Die Server-Hostschlüssel rsa-sha2-512 und rsa-sha2-256 sind im SSH Dienstprofil nicht konfigurierbar.

• rsa-sha2-512 und rsa-sha2-256 müssen unter GUI hinzugefügt werden: Gerät > Zertifikatsverwaltung > SSH Dienstprofil > Management- Server-Profil > (Hinzufügen) > Hostschlüssel
• Unter Hostkey gibt es kein rsa-sha2-512 und rsa-sha2-256 .

• Palo Alto Firewalls oder Panorama
• PANOS 10.0.x und höher
• SSH Dienstprofil

• Die Schlüssellängen sind die Werte 2048, 3072 und 4096. Der Standardschlüsseltyp und die Standard(-) sind RSA 2048.

1. Wählen Sie beim Konfigurieren des SSH Profil für die Verwaltung eine beliebige Schlüssellänge von 2048, 3072 oder 4096 .
2. Wählen Sie das konfigurierte Profil aus, indem Sie zur GUI gehen: Gerät > Setup > Verwaltung > SSH Management-Profil > wählen Sie das SSH Dienstprofil .
3. Begehen
4. Führen Sie den folgenden Befehl von der CLI aus.

> set ssh service-restart mgmt

5. Testen Sie die Änderungen von einem Client Gerät aus. Alle RSA-basierten Chiffren werden angezeigt.

 nmap --script ssh2-enum-algos -sV -p 22 x.y.z.q //Replace x.y.z.q with firewall management IP

Notiz:

• Wenn RSA-Server-Hostschlüssel konfiguriert sind, werden alle auf RSA basierenden Chiffren bekannt gegeben – einschließlich ssh-rsa, rsa-sha2-256 und rsa-sha2-512, und zwar unabhängig von der konfigurierten RSA-Schlüsselstärke.
• Um den SSH-RSA-Server-Hostschlüsselalgorithmus zu bereinigen, legen Sie einen beliebigen ECDSA-basierten Schlüssel als Server-Hostschlüsselalgorithmus fest.
• Wenn Sie dies tun, werden alle RSA-basierten Server-Hostschlüsselalgorithmen entfernt. Und nur der entsprechende ECDSA-SHA2-*-basierte Server-Hostschlüsselalgorithmus wird angekündigt.

• Konfigurieren Sie ein SSH Dienstprofil.
• Stellen Sie sicher, dass Sie eine Sicherungskopie der Konfigurationen erstellen, bevor Sie Änderungen vornehmen.
• Wenn sich die Firewall in einer HA -Umgebung befindet, nehmen Sie zuerst die Änderungen an der passiven Firewall vor.