CLI を使用して Panorama テンプレートからSSL/TLSサービス プロファイルのSSL暗号を無効にする方法
3775
Created On 06/29/22 23:43 PM - Last Modified 01/07/25 12:29 PM
Objective
- SSL/TLSプロファイルが Panorama で設定されていて、ファイアウォールでローカルに設定されていないシナリオがあります。
- 暗号の変更はCLIを使用してのみ実行できます
- Panorama テンプレートがプッシュされている場合、 SSL/TLSプロファイルからローカル ファイアウォールへの暗号を変更することはできないため、Panorama CLI を使用して変更を行い、変更をファイアウォールにプッシュする必要があります。
Environment
- パノラマ
- すべてのPalo Alto Networksファイアウォール
- PANOS 9.0.x 以降のバージョン
Procedure
注記
- Santa-Clara-PVE = テンプレート名
- 管理 = ssl-tls-serviceプロファイル名
- Panorama CLIのコンフィグモードへのアクセス
> configure
- 次のコマンドを入力し、最後にタブキーを押すとSSL暗号オプションが表示されます。
# set template Santa-Clara-PVE config shared ssl-tls-service-profile management protocol-settings
+ auth-algo-sha1 Allow authentication SHA1
+ auth-algo-sha256 Allow authentication SHA256
+ auth-algo-sha384 Allow authentication SHA384
+ enc-algo-3des Allow algorithm 3DES
+ enc-algo-aes-128-cbc Allow algorithm AES-128-CBC
+ enc-algo-aes-128-gcm Allow algorithm AES-128-GCM
+ enc-algo-aes-256-cbc Allow algorithm AES-256-CBC
+ enc-algo-aes-256-gcm Allow algorithm AES-256-GCM
+ enc-algo-rc4 Allow algorithm RC4
+ keyxchg-algo-dhe Allow algorithm DHE
+ keyxchg-algo-ecdhe Allow algorithm ECDHE
+ keyxchg-algo-rsa Allow algorithm RSA
+ max-version max-version
+ min-version min-version
<Enter> Finish input
- SSL暗号を選択し、「いいえ」を選択します
# set template Santa-Clara-PVE config shared ssl-tls-service-profile management protocol-settings keyxchg-algo-ecdhe no
- 変更をコミットする
# commit
- パノラマから確認
# show template Santa-Clara-PVE config shared ssl-tls-service-profile management protocol-settings
protocol-settings {
min-version tls1-0;
max-version max;
keyxchg-algo-ecdhe no;
}
[edit]
#
- GUIを使用したプッシュ設定
- ファイアウォールのCLIから設定モードで確認する
> configure
# show template shared ssl-tls-service-profile <name of the SSL-TLS profile> protocol-setting
ex
# show template shared ssl-tls-service-profile management protocol-setting
protocol-settings {
min-version tls1-0;
max-version max;
keyxchg-algo-ecdhe no;
}
[edit] #