Las claves de host del servidor rsa-sha2-512 y rsa-sha2-256 no se pueden configurar en el perfil de servicio SSH

• Es necesario agregar rsa-sha2-512 y rsa-sha2-256 en la GUI: Dispositivo > Administración de certificados > Perfil de servicio SSH > Perfil de servidor de administración > (Agregar) > Clave de host
• No hay rsa-sha2-512 ni rsa-sha2-256 en Hostkey.

• Cortafuegos de Palo Alto o Panorama
• PANOS 10.0.x y superiores
• Perfil del servicio SSH

• Los valores 2048, 3072 y 4096 son la longitud de la clave. El tipo y la longitud de clave valor predeterminado son RSA 2048.

1. Al configurar el perfil SSH para la administración, seleccione cualquier longitud de clave: 2048, 3072 o 4096 .
2. Seleccione el perfil configurado yendo a la GUI: Dispositivo > Configuración > Administración > Configuración del Perfil de gestión SSH > seleccione el perfil de servicio SSH .
3. Comprometerse
4. Ejecute el siguiente comando desde CLI.

> set ssh service-restart mgmt

5. Pruebe los cambios desde un dispositivo cliente. Todos los cifrados basados ​​en RSA se muestran en la publicidad.

 nmap --script ssh2-enum-algos -sV -p 22 x.y.z.q //Replace x.y.z.q with firewall management IP

Nota:

• Cuando se configuran las claves de host del servidor RSA, se anuncian todos los cifrados basados en RSA, incluidos ssh-rsa, rsa-sha2-256 y rsa-sha2-512, independientemente de la intensidad de la clave RSA configurada.
• Para eliminar el algoritmo de clave de host del servidor ssh-rsa, configure cualquier clave basada en ECDSA como el algoritmo de clave de host del servidor.
• Al hacer esto, se eliminan todos los algoritmos de clave de host de servidor basados en RSA y solo se anuncia el algoritmo de clave de host de servidor basado en ECDSA-SHA2-* correspondiente.

• Configurar un perfil de servicio SSH .
• Asegúrese de tener una copia de seguridad de las configuraciones antes de realizar cualquier cambio.
• Si el Firewall está en un entorno HA , realice primero los cambios en el Firewall pasivo.