rsa-sha2-512 和 rsa-sha2-256 服务器主机密钥无法在SSH服务配置文件中配置

• 需要在 GUI 下添加rsa-sha2-512 和 rsa-sha2-256 ：设备 > 证书管理 > SSH服务配置文件 > 管理服务器配置文件> （添加）>Hostkey
• Hostkey下没有rsa-sha2-512和rsa-sha2-256 。

• Palo Alto 防火墙或 Panorama
• PANOS 10.0.x 及以上版本
• SSH服务配置文件

• 值 2048、3072 和 4096 是密钥长度。默认密钥类型和长度为 RSA 2048。

1. 配置管理的SSH配置配置文件时，选择任意密钥长度 2048、3072 或 4096 。
2. 通过转到 GUI 选择已配置的配置文件：设备 >设置 > 管理 > SSH管理配置文件设置 > 选择SSH服务配置文件。
3. 犯罪
4. 从CLI运行以下命令。

> set ssh service-restart mgmt

5. 从客户端设备测试更改。所有基于 rsa 的密码均已公布。

 nmap --script ssh2-enum-algos -sV -p 22 x.y.z.q //Replace x.y.z.q with firewall management IP

笔记:

• 当配置了 RSA 服务器主机密钥时，所有基于 rsa 的密码都会得到通告 - 包括 ssh-rsa、rsa-sha2-256 和 rsa-sha2-512，无论配置了哪种 RSA 密钥强度。
• 要修剪 ssh-rsa 服务器主机密钥算法，请将任何基于 ECDSA 的密钥设置为服务器主机密钥算法。
• 执行此操作后，所有基于 rsa 的服务器主机密钥算法都将被删除。并且仅公布相应的基于 ecdsa-sha2-* 的服务器主机密钥算法。

• 配置SSH服务配置文件。
• 在进行任何更改之前，请确保备份配置。
• 如果防火墙处于HA环境中，请首先在被动防火墙上进行更改。