Les clés d'hôte du serveur rsa-sha2-512 et rsa-sha2-256 ne sont pas configurables dans le profil de service SSH

• rsa-sha2-512 et rsa-sha2-256 doivent être ajoutés sous l'interface graphique : Périphérique > Gestion des certificats > Profil de service SSH > profil de serveur de gestion > (Ajouter) > Clé d'hôte
• Il n'y a pas de rsa-sha2-512 et rsa-sha2-256 sous Hostkey.

• Pare-feu Palo Alto ou Panorama
• PANOS 10.0.x et versions ultérieures
• Profil de service SSH

• Les valeurs 2048, 3072 et 4096 correspondent à la longueur de la clé. Le type et la longueur de clé par défaut sont RSA 2048.

1. Lors de la configuration du profil SSH pour la gestion, sélectionnez n'importe quelle longueur de clé 2048, 3072 ou 4096 .
2. Sélectionnez le profil configuré en allant dans l'interface graphique : Appareil > Configuration > Gestion > Paramètres du profil de gestion SSH > sélectionnez le profil de service SSH .
3. Commettre
4. Exécutez la commande suivante depuis la CLI.

> set ssh service-restart mgmt

5. Testez les modifications à partir d'un appareil client. Tous les chiffrements basés sur RSA sont annoncés.

 nmap --script ssh2-enum-algos -sV -p 22 x.y.z.q //Replace x.y.z.q with firewall management IP

Note:

• Lorsque les clés de l'hôte du serveur RSA sont configurées, tous les chiffrements basés sur RSA sont annoncés, notamment ssh-rsa, rsa-sha2-256 et rsa-sha2-512, quelle que soit la force de la clé RSA configurée.
• Pour supprimer l’algorithme de clé d’hôte du serveur ssh-rsa, définissez n’importe quelle clé basée sur ECDSA comme algorithme de clé d’hôte du serveur.
• Lorsque vous faites cela, tous les algorithmes de clé d'hôte de serveur basés sur RSA sont supprimés. Et seul l'algorithme de clé d'hôte de serveur basé sur ecdsa-sha2-* correspondant est annoncé.

• Configurer un profil de service SSH .
• Assurez-vous d'avoir une sauvegarde des configurations avant d'effectuer des modifications.
• Si le pare-feu se trouve dans un environnement HA , effectuez d’abord les modifications sur le pare-feu passif.