rsa-sha2-512 および rsa-sha2-256 サーバーホストキーは、 SSHサービスプロファイルでは設定できません。

• rsa-sha2-512 と rsa-sha2-256 は、 GUI で追加する必要があります:デバイス > 証明書管理 > SSHサービス プロファイル > 管理サーバ プロファイル> (追加) > ホストキー
• Hostkey の下にrsa-sha2-512 と rsa-sha2-256がありません。

• Palo Alto ファイアウォールまたは Panorama
• PANOS 10.0.x 以上
• SSHサービス プロファイル

• 値 2048、3072、および 4096 はキーの長さです。デフォルトのキー タイプと長さは RSA 2048 です。

1. 管理用のSSHプロファイルを構成するときは、キーの長さとして 2048、3072、または 4096 を選択します。
2. GUI の[デバイス] > [セットアップ] > [管理] > [SSH管理プロファイル設定] に移動して、設定されたプロファイルを選択します。SSH サービス プロファイルを選択します。
3. 専念
4. CLIから次のコマンドを実行します。

> set ssh service-restart mgmt

5. クライアントデバイスから変更をテストします。すべての RSA ベースの暗号がアドバタイズされていることがわかります。

 nmap --script ssh2-enum-algos -sV -p 22 x.y.z.q //Replace x.y.z.q with firewall management IP

注記:

• RSA サーバー ホスト キーが設定されると、どの RSA キーの強度が設定されているかに関係なく、ssh-rsa、rsa-sha2-256、rsa-sha2-512 を含むすべての rsa ベースの暗号がアドバタイズされます。
• ssh-rsa サーバー ホスト キー アルゴリズムを削除するには、任意の ECDSA ベースのキーをサーバー ホスト キー アルゴリズムとして設定します。
• これを行うと、すべての rsa ベースのサーバー ホスト キー アルゴリズムが除去されます。対応する ecdsa-sha2-* ベースのサーバー ホスト キー アルゴリズムのみがアドバタイズされます。

• SSHサービス プロファイルを設定します。
• 変更を加える前に、必ず設定のバックアップを取ってください。
• ファイアウォールがHA環境にある場合は、まずパッシブ ファイアウォールで変更を加えます。