故障排除 SSL 会话的操作命令

目的

显示有关设备上所有活动 SSL 会话的信息。

行动

使用 命令 show security flow session ssl 。

意义

输出显示所有标准流信息，包括会话 ID、会话的超时值、流的方向、源地址和端口、目标地址和端口、IP 协议以及用于会话的接口。例：

• 允许此流量的策略名称为默认许可。

• 超时值。

• 源 IP 和目标 IP 都显示在各自的源/目标端口中。

• 会话类型。

• 本会话的源接口和目标接口。

有关命令输出字段的详细信息，请参阅 show security flow session ssl。

目的

显示有关设备上活动 SSL 会话的详细信息。

行动

在操作模式下，使用 命令 show security flow session extensive ssl 。

意义

命令的输出显示有关设备上所有活动会话的广泛信息。

显示信息包括会话 ID、网络地址转换 （NAT） 源池（如果使用了源 NAT）、会话的配置超时值及其标准超时，以及会话开始时间以及会话活动时间、流量方向、源地址和端口、目标地址和端口， IP 协议以及用于会话的接口。

例：

• 允许此流量的策略名称为默认许可。

• 最大超时值和当前超时值。

• 会话类型。

• 会话的源接口和目标接口

• 下一跳网关 IP 地址

• AppQoS 规则设置详细信息。

有关命令输出字段的详细信息，请参阅 show services ssl 会话。

目的

显示有关特定 SSL 会话的信息。

行动

使用 命令 show services ssl session 56 。

意义

您可以通过此命令获取有关特定 SSL 会话的详细信息。例：

• 用于会话的会话 ID、连接类型和 SSL 配置文件。

• 服务器证书主体名称和验证状态。

• CRL 检查状态和操作。

• SSL 初始化和终止详细信息。

• 本会话的源接口和目标接口。

有关命令输出字段的详细信息，请参阅 show security flow session ssl。

目的

显示设备上提供的数字证书。

行动

在操作模式下，使用 命令 show services ssl certificate all 。

意义

显示设备上活动的所有 SSL 证书的列表。SSL 会话使用这些证书在客户端和服务器之间建立安全通信。

有关命令输出字段的详细信息，请参阅 show services ssl 证书。

目的

显示有关 SSL 证书的简要信息。

行动

在操作模式下，使用 命令 show services ssl certificate brief certificate-id certificate-identifier 。以下示例显示 CA 证书和本地证书的命令输出。

意义

显示有关证书的详细信息，包括证书 ID、类型、证书的发行器和使用的加密算法。字 type 段显示证书类型（即 CA-CERT 或 LOCAL-CERT）。CA-Cert 证书是由可信证书授权机构颁发的授权证书，而 LOCAL-CERT 是一种自签名证书。

请注意，命令的输出视证书类型而异。

有关命令输出字段的详细信息，请参阅 show services ssl 证书。

目的

显示有关 SSL 证书的详细信息。

行动

在操作模式下，使用 命令 show services ssl certificate detail certificate-identifier 。

意义

显示有关证书的详细信息，包括所使用的证书 ID、类型、最后修改日期、版本、序列号、发行器、主题、有效性和加密算法。

例：

• 证书的类型。字 type 段显示证书类型（即 CA-CERT 或 LOCAL-CERT）。CA-Cert 证书是由可信证书授权机构颁发的授权证书，而 LOCAL-CERT 是一种自签名证书。

• 证书的主体和发行人。

• 证书有效期为自日期和日期。

• 使用的公钥算法。

• 证书授权机构用于签署证书的算法。

• CRL 相关更新（仅限 CA 证书）

有关命令输出字段的详细信息，请参阅 show services ssl 证书。

目的

显示 SSL 代理会话的所有统计计数器。

行动

在操作模式下，使用 命令 show services ssl proxy counters all 。

意义

输出显示与 SSL 代理会话相关的计数器详细信息。每当存在一些活动（例如会话匹配、创建的会话等）时，这些计数器通常都会递增。

例：

• 创建、匹配、忽略或销毁的会话数。

• 允许根据 IP 地址和 URL 类别列出的会话数。

• 会话计数基于 CRL 相关信息，例如完成的新更新或吊销证书、不存在 CRL 或不存在 CA 证书。

• 统一策略中匹配默认 SSL 代理配置文件的会话数。

• 由于没有默认 SSL 代理配置文件而丢弃的会话数。

有关命令输出字段的详细信息，请参阅 show services ssl 代理计数器。

目的

显示 SSL 代理会话的统计计数器，以提供有关会话的信息。

行动

在操作模式下，使用 命令 show services ssl proxy counters info 。

意义

输出显示计数器详细信息相关 SSL 代理会话。每当存在一些活动（例如会话匹配、创建的会话等）时，这些计数器通常都会递增。

例：

• 创建、匹配、忽略或销毁的会话数。

• 允许列出的会话数。

• 会话计数基于 CRL 相关信息，如完成的新更新、吊销证书、不存在 CRL 或不存在 CA 证书。

• 统一策略中匹配默认 SSL 代理配置文件的会话数。

• 由于没有默认 SSL 代理配置文件而丢弃的会话数。

有关命令输出字段的详细信息，请参阅 show services ssl 代理计数器。

目的

显示 SSL 代理会话中遇到的错误的统计计数器。

行动

在操作模式下，使用 命令 show services ssl proxy counters errors 。

意义

输出显示 SSL 代理会话中遇到的错误的计数器详细信息。例：

• 失败的会话数。

• 系统上收到的非 SSL 会话数。

• 丢弃的会话数。

有关命令输出字段的详细信息，请参阅 show services ssl 代理计数器。

目的

显示有关 SSL 代理配置文件的信息。

行动

在操作模式下，使用 命令 show services ssl proxy profile profile-name 。

意义

命令输出显示 SSL 代理配置文件的详细信息。例：

• 允许列出的会话数。

• 是否允许非 SSL 会话。

• 根证书是处于活动状态还是已过期。

有关命令输出字段的详细信息，请参阅 show services ssl 代理配置文件。

目的

显示设备上配置的所有 SSL 代理配置文件。

行动

在操作模式下，使用 命令 show services ssl proxy profile all 。

意义

输出显示设备上可用的 SSL 代理配置文件列表。

有关命令输出字段的详细信息，请参阅 show services ssl 代理配置文件。

目的

显示 SSL 代理会话缓存的数据。

行动

在操作模式下，使用 命令 show services ssl proxy session-cache statistics 。

意义

命令输出显示 SSL 代理会话缓存统计信息。您可以获取详细信息，例如，在缓存中找到与 SSL 会话相关的信息的次数，或者缓存中缺少与 SSL 会话相关信息的次数，以及达到会话缓存限制的次数。

有关命令输出字段的详细信息，请参阅 显示服务 ssl 代理会话缓存统计信息。

目的

显示有关 SSL 代理会话缓存中存储的条目的简要信息。

行动

在操作模式下，使用 命令 show services ssl proxy session-cache entries summary 。

意义

命令输出显示 SSL 代理会话缓存条目详细信息，例如在缓存中保存的会话信息、会话状态、会话 ID 和会话 ID 长度、目标 IP 地址和端口详细信息，以及 SSL 初始化和 SSL 终端配置文件 ID。

有关命令输出字段的详细信息，请参阅 显示服务 ssl 代理会话缓存条目。

目的

显示有关 SSL 代理会话缓存中存储的条目的详细信息。

行动

在操作模式下，使用 命令 show services ssl proxy session-cache entries detail 。

意义

命令输出显示缓存的 SSL 代理会话条目详细信息。例：

• 缓存条目状态，到期时间。因为缓存条目仅对短时间间隔有效。

• 会话 ID 和会话 ID 长度。

• 目标 IP 地址和目标端口详细信息。

• SSL 初始化和 SSL 终止会话详细信息。

• 服务器证书验证，指示证书详细信息。

有关命令输出字段的详细信息，请参阅 显示服务 ssl 代理会话缓存条目。

目的

显示 SSL 代理证书缓存的数据。

行动

在操作模式下，使用 命令 show services ssl proxy certificate–cache statistics 。

意义

命令输出显示 SSL 代理证书缓存统计信息，例如缓存中可用匹配次数、在缓存中未找到条目次数或缓存已满的次数。

有关命令输出字段的详细信息，请参阅 显示服务 ssl 代理证书 – 缓存统计信息。

目的

显示有关 SSL 代理证书缓存中存储的条目的简要信息。

行动

在操作模式下，使用 命令 show services ssl proxy certificate-cache entries summary 。

意义

命令输出显示证书缓存统计信息，例如缓存条目、序列号、配置文件 ID 和 CRL 更新的数量。

有关命令输出字段的详细信息，请参阅 显示服务 ssl 代理证书缓存条目。

目的

显示有关 SSL 代理证书缓存中存储的条目的详细信息。

行动

在操作模式下，使用 命令 show services ssl proxy certificate-cache entries detail 。

意义

您可以通过此命令获取有关缓存 SSL 代理证书条目的详细信息。例：

• 证书缓存中包含的条目数。

• 在将阻塞的证书添加到证书缓存之前完成 CRL 更新的次数。

• 缓存的互联证书和服务器证书验证结果。

• 所指示证书的主体和发行人。

有关命令输出字段的详细信息，请参阅 显示服务 ssl 代理证书缓存条目。

目的

显示 SSL 代理会话的状态。

行动

在操作模式下，使用 命令 show services ssl proxy status 。

意义

命令显示 SSL 代理的整体状态。例：

• 加密状态、代理激活状态。

• 证书缓存详细信息，例如证书缓存是否激活、CRL 配置、证书缓存大小、当前使用的证书缓存中的证书数量。

• 会话缓存详细信息，例如会话缓存是否激活、会话缓存的大小、当前使用的会话缓存中的会话数。

有关命令输出字段的详细信息，请参阅 show services ssl 代理状态。

目的

显示 SSL 终止会话的统计计数器详细信息。

行动

在操作模式下，使用 命令 show services ssl termination counters all 。

意义

您可以通过此命令获取有关 SSL 终端计数器的有用信息。例：

• 与内存、握手、证书、服务器保护、代理和加密相关的错误数

• 发起握手和完成握手的会话数。

• 活动会话数。

• SSL 代理会话数，例如创建的会话、活动会话、忽略的会话、重新协商的会话、具有不同身份验证方法的会话等。

有关命令输出字段的详细信息，请参阅 show services ssl 终端计数器。

目的

显示 SSL 终止会话中遇到的错误的统计计数器。

行动

在操作模式下，使用 命令 show services ssl termination counters error 。

意义

命令的输出显示与内存、握手、证书、服务器保护、代理和加密以及 SSL 解密镜像功能相关的错误数。

有关命令输出字段的详细信息，请参阅 show services ssl 终端计数器。

目的

显示 SSL 端子握手的统计计数器。

行动

在操作模式下，使用 命令 show services ssl termination counters handshake 。

意义

您可以通过此命令获取有关 SSL 终端计数器的有用信息。例：

• 发起握手和完成握手的会话数。

• 活动会话数

• SSL 代理会话数，例如创建的会话、活动会话、忽略的会话、重新协商的会话、具有不同身份验证方法的会话等。

有关命令输出字段的详细信息，请参阅 show services ssl 终端计数器。

目的

显示设备上提供的所有 SSL 终端配置文件。

行动

在操作模式下，使用 命令 show services ssl termination profile all 。

意义

命令的输出显示设备上可用的所有 SSL 终端配置文件列表。

有关命令输出字段的详细信息，请参阅 显示服务 ssl 终端配置文件。

目的

显示有关 SSL 终端配置文件的简要信息。

行动

在操作模式下，使用 命令 show services ssl termination profile brief profile-name 。

意义

显示 SSL 终端配置文件的详细信息。

您可以通过此命令获取有关 SSL 初始化配置文件的有用信息。例：

• 根证书是处于活动状态还是已过期。

• 具有关键强度的首选 SSL 密码。

• 是否允许非 SSL 会话。

• 配置的 URL 类别数。

• 允许列出的会话数。

有关命令输出字段的详细信息，请参阅 显示服务 ssl 终端配置文件。

目的

显示有关 SSL 终端配置文件的详细信息。

行动

在操作模式下，使用 命令 show services ssl termination profile detail profile-name 。

意义

您可以通过此命令获取有关 SSL 终端配置文件的有用信息。例：

• 配置文件名称。

• 是否允许非 SSL 会话。

• 首选密码的类别。

• 配置的 URL 类别数。

• 协议版本。

• 各种功能的状态，如客户端和服务器身份验证、证书撤销操作、会话恢复、会话重新协商。

• 可信 CA 和自定义密码详细信息。

• SSL 解密镜像状态。

• 每个配置文件统计信息或计数器的 SSL 终止。

有关命令输出字段的详细信息，请参阅 显示服务 ssl 终端配置文件。

目的

显示 SSL 初始化会话的统计计数器。

行动

在操作模式下，使用 命令 show services ssl initiation counters all 。

意义

您可以通过此命令获取有关 SSL 初始化计数器的有用信息。例：

• 与内存、握手、证书、服务器保护、代理和加密相关的错误数。

• 发起握手并完成握手的会话数。

• 活动会话数。

• SSL 代理会话数，例如创建的会话、活动会话、忽略的会话、重新协商的会话、具有不同身份验证方法的会话等。

有关命令输出字段的详细信息，请参阅 show services ssl 初始化计数器。

目的

显示 SSL 初始化握手的统计计数器。

行动

在操作模式下，使用 命令 show services ssl initiation counters handshake 。

意义

您可以通过此命令获取有关 SSL 初始化计数器的有用信息。例：

• 发起握手和完成握手的会话数。

• 活动会话数。

• SSL 代理会话数，例如创建的会话、活动会话、忽略的会话、重新协商的会话、具有不同身份验证方法的会话等。

有关命令输出字段的详细信息，请参阅 show services ssl 初始化计数器。

目的

显示 SSL 初始化会话中遇到的错误的统计计数器。

行动

在操作模式下，使用 命令 show services ssl initiation counters error 。

意义

命令的输出显示与内存、握手、证书、服务器保护、代理和加密以及 SSL 解密镜像功能相关的错误数。

有关命令输出字段的详细信息，请参阅 show services ssl 初始化计数器。

目的

显示设备上提供的所有 SSL 初始化配置文件。

行动

在操作模式下，使用 命令 show services ssl initiation profile all 。

意义

命令的输出显示设备上可用的所有 SSL 初始化配置文件列表。

有关命令输出字段的详细信息，请参阅 show services ssl 初始化配置文件。

目的

显示 SSL 初始化配置文件的汇总。

行动

在操作模式下，使用 命令 show services ssl initiation profile brief profile-name 。

意义

显示 SSL 初始化配置文件的详细信息，例如配置文件名称、是否允许的非 SSL 会话、首选密码和配置的 URL 类别数。

有关命令输出字段的详细信息，请参阅 show services ssl 初始化配置文件。

目的

显示有关 SSL 初始化配置文件的详细信息。

行动

在操作模式下，使用 命令 show services ssl initiation profile detail profile-name 。

意义

您可以通过此命令获取有关 SSL 初始化配置文件的有用信息。例：

• 是否允许非 SSL 会话。

• 首选 SSL 密码

• 配置的 URL 类别数。

• 各种功能的状态，如客户端和服务器身份验证、证书撤销操作、会话恢复、会话重新协商。

• 可信 CA、链证书详细信息。

• SSL 解密镜像状态

• SSL 初始化会话计数器

有关命令输出字段的详细信息，请参阅 show services ssl 初始化配置文件。

目的

显示有关 SSL 丢弃日志的信息。

行动

在操作模式下，使用 命令 show services ssl droplogs 。

意义

命令输出显示被拒绝/丢弃的会话详细信息。您可以使用命令输出来了解会话被丢弃的原因。