rsa-sha2-512 및 rsa-sha2-256 서버 호스트 키는 SSH 서비스 프로필에서 구성할 수 없습니다.

• rsa-sha2-512 및 rsa-sha2-256은 GUI에서 추가해야 합니다: 장치 > 인증서 관리 > SSH 서비스 프로필 > 관리 서버 프로파일 > (추가) > 호스트키
• 호스트 키에는 rsa-sha2-512와 rsa-sha2-256이 없습니다 .

• Palo Alto 방화벽 또는 Panorama
• PANOS 10.0.x 이상
• SSH 서비스 프로필

• 값 2048, 3072, 4096은 키 길이입니다. 디폴트 키 유형과 길이는 RSA 2048입니다.

1. 관리를 위해 SSH 프로파일 구성할 때 2048, 3072 또는 4096 중 키 길이를 선택하세요 .
2. GUI로 가서 구성된 프로필을 선택하세요: 장치 > 설정 > 관리 > SSH 관리 프로파일 설정 > SSH 서비스 프로필을 선택하세요 .
3. 저지르다
4. CLI 에서 다음 명령을 실행합니다.

> set ssh service-restart mgmt

5. 클라이언트 디바이스 에서 변경 사항을 테스트합니다. 모든 RSA 기반 암호가 광고되는 것으로 보입니다.

 nmap --script ssh2-enum-algos -sV -p 22 x.y.z.q //Replace x.y.z.q with firewall management IP

메모:

• RSA 서버 호스트 키가 구성되면 모든 RSA 기반 암호가 광고됩니다. 여기에는 ssh-rsa, rsa-sha2-256 및 rsa-sha2-512가 포함되며, 이는 구성된 RSA 키 강도와는 관계없습니다.
• ssh-rsa 서버 호스트 키 알고리즘을 제거하려면 ECDSA 기반 키를 서버 호스트 키 알고리즘으로 설정합니다.
• 이렇게 하면 모든 RSA 기반 서버 호스트 키 알고리즘이 제거됩니다. 그리고 해당 ecdsa-sha2-* 기반 서버 호스트 키 알고리즘만 광고됩니다.

• SSH 서비스 프로필을 구성합니다.
• 변경하기 전에 구성을 백업해 두세요.
• 방화벽이 HA 환경에 있는 경우, 먼저 수동 방화벽을 변경하세요.