So deaktivieren Sie SSL Chiffren für das SSL/TLS-Dienstprofil aus der Panorama-Vorlage mithilfe der CLI

So deaktivieren Sie SSL Chiffren für das SSL/TLS-Dienstprofil aus der Panorama-Vorlage mithilfe der CLI

3094
Created On 06/29/22 23:43 PM - Last Modified 01/07/25 12:26 PM


Objective


  • Es gibt Szenarien, in denen das SSL/TLS -Profil in Panorama und nicht lokal in der Firewall konfiguriert wurde
  • Das Ändern von Chiffren kann nur über die CLI erfolgen.
  • Da es nicht möglich ist, Chiffren vom SSL/TLS Profil zur lokalen Firewall zu ändern, wenn die Panorama-Vorlage gepusht wurde, müssen die Änderungen mithilfe der Panorama- CLI vorgenommen und die Änderungen an die Firewall gepusht werden.

Environment


  • Panorama
  • Alle Palo Alto Networks Firewall
  • PANOS 9.0.x und höhere Versionen

Procedure


NOTIZ
  • Santa-Clara-PVE = Vorlagenname
  • Verwaltung = SSL-TLS- Profil
  1. Zugriff auf den konfigurieren in Panorama CLI
> configure
  1. Geben Sie den folgenden Befehl ein und drücken Sie am Ende die Tabulatortaste, um die SSL Verschlüsselungsoptionen anzuzeigen
# set template Santa-Clara-PVE config shared ssl-tls-service-profile management protocol-settings
+ auth-algo-sha1         Allow authentication SHA1
+ auth-algo-sha256       Allow authentication SHA256
+ auth-algo-sha384       Allow authentication SHA384
+ enc-algo-3des          Allow algorithm 3DES
+ enc-algo-aes-128-cbc   Allow algorithm AES-128-CBC
+ enc-algo-aes-128-gcm   Allow algorithm AES-128-GCM
+ enc-algo-aes-256-cbc   Allow algorithm AES-256-CBC
+ enc-algo-aes-256-gcm   Allow algorithm AES-256-GCM
+ enc-algo-rc4           Allow algorithm RC4
+ keyxchg-algo-dhe       Allow algorithm DHE
+ keyxchg-algo-ecdhe     Allow algorithm ECDHE
+ keyxchg-algo-rsa       Allow algorithm RSA
+ max-version            max-version 
+ min-version            min-version 
  <Enter>                Finish input
  1. Wählen Sie die SSL Verschlüsselung aus und wählen Sie dann „Nein“
# set template Santa-Clara-PVE config shared ssl-tls-service-profile management protocol-settings keyxchg-algo-ecdhe no
  1. Änderungen festschreiben
# commit
  1. Verifizieren von Panorama
# show template Santa-Clara-PVE config shared ssl-tls-service-profile management protocol-settings
protocol-settings {
  min-version tls1-0;
  max-version max;
  keyxchg-algo-ecdhe no;
 }
[edit]                                                                                                                                                                                   
#
  1. Push- Konfiguration über die GUI
  2. Überprüfen Sie über die CLI der Firewall im Konfigurationsmodus
> configure
# show template shared ssl-tls-service-profile <name of the SSL-TLS profile> protocol-setting
ex
# show template shared ssl-tls-service-profile management protocol-setting
protocol-settings {   
  min-version tls1-0;
  max-version max; 
  keyxchg-algo-ecdhe no; 
 } 
[edit]                                                                                                                                #




Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000CqH9CAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language