AUF DIESER SEITE
Betriebsbefehle zur Fehlerbehebung bei SSL-Sitzungen
In der CLI stellen die Betriebsbefehle Informationen bereit, die bei der Fehlerbehebung helfen können. Sie können show-Befehle verwenden, um die statistischen Zähler und Metriken im Zusammenhang mit datenverkehrsbedingten Verlusten zu bestimmen und zu analysieren und eine angemessene Korrekturmaßnahme zu ergreifen. Dieses Thema behandelt Informationen zur Überwachung, Anzeige und Überprüfung von SSL-bezogenen Problemen mithilfe der Betriebsmodusbefehle.
Aktive SSL-Sitzungen anzeigen
Zweck
Zeigen Sie Informationen zu allen aktiven SSL-Sitzungen auf dem Gerät an.
Aktion
Verwenden Sie den show security flow session ssl Befehl.
user@host > show security flow session ssl
Output:
Session ID: 1, Policy name: default-permit/5, Timeout: 1746, Valid
In: 4.0.0.1/37369 --> 5.0.0.1/4433;tcp, Conn Tag: 0x0, If: xe-0/0/0.0, Pkts: 6, Bytes: 671,
Out: 5.0.0.1/4433 --> 4.0.0.1/37369;tcp, Conn Tag: 0x0, If: xe-0/0/1.0, Pkts: 7, Bytes: 1635, Bedeutung
Die Ausgabe zeigt alle Standarddatenstrominformationen an, einschließlich der Sitzungs-ID, des Timeout-Werts für die Sitzung, der Richtung des Datenflusses, der Quelladresse und des Ports, der Zieladresse und des Portes, des IP-Protokolls und der für die Sitzung verwendeten Schnittstelle. Beispiel:
Der Richtlinienname, der diesen Datenverkehr zugelassen hat, ist Standardgenehmigung.
Der Timeout-Wert.
Sowohl die Quell-IP als auch die Ziel-IP werden mit ihren jeweiligen Quell-/Ziel-Ports angezeigt.
Sitzungstyp.
Die Quellschnittstelle und die Zielschnittstelle für diese Sitzung.
Weitere Informationen zu den Ausgabefeldern des Befehls finden Sie unter Show Security Flow Session SSL.
Anzeigen aktiver SSL-Sitzungen – Details
Zweck
Zeigen Sie Detailinformationen zu den aktiven SSL-Sitzungen auf dem Gerät an.
Aktion
Verwenden Sie im Betriebsmodus den show security flow session extensive ssl Befehl.
user@host > show security flow session extensive ssl
Output:
Session ID: 1, Status: Normal
Flags: 0x42/0x20000000/0x2/0x10103
Policy name: 1/5
Source NAT pool: Null
Dynamic application: junos:UNKNOWN,
Encryption: Unknown
Application traffic control rule-set: INVALID, Rule: INVALID
Maximum timeout: 1800, Current timeout: 1636
Session State: Valid
Start time: 587131, Duration: 163
In: 4.0.0.1/37369 --> 5.0.0.1/4433;tcp,
Conn Tag: 0x0, Interface: xe-0/0/0.0,
Session token: 0x7, Flag: 0x2621
Route: 0xa0010, Gateway: 4.0.0.1, Tunnel: 0
Port sequence: 0, FIN sequence: 0,
FIN state: 0,
Pkts: 6, Bytes: 671
Out: 5.0.0.1/4433 --> 4.0.0.1/37369;tcp,
Conn Tag: 0x0, Interface: xe-0/0/1.0,
Session token: 0x8, Flag: 0x2620
Route: 0xb0010, Gateway: 5.0.0.1, Tunnel: 0
Port sequence: 0, FIN sequence: 0,
FIN state: 0,
Pkts: 7, Bytes: 1635
Total sessions: 1Bedeutung
Die Ausgabe des Befehls zeigt umfassende Informationen über alle aktiven Sitzungen auf dem Gerät an.
Anzeigeinformationen umfassen die Sitzungs-ID, den NAT-Quellpool (falls Quell-NAT verwendet wird), der konfigurierte Timeout-Wert für die Sitzung und deren Standard-Timeout sowie die Sitzungsstartzeit und wie lange die Sitzung aktiv war, Richtung des Datenflusses, Quelladresse und Port, Zieladresse und Port, das IP-Protokoll und die für die Sitzung verwendete Schnittstelle.
Beispiel:
Der Richtlinienname, der diesen Datenverkehr zugelassen hat, ist Standardgenehmigung.
Die maximalen Timeout- und aktuellen Timeout-Werte.
Sitzungstyp.
Die Quellschnittstelle und die Zielschnittstelle für die Sitzung
Die IP-Adresse des Next-Hop-Gateways
AppQoS Regelsatzdetails.
Weitere Informationen zu den Ausgabefeldern des Befehls finden Sie unter show services ssl session.
Anzeigen spezifischer SSL-Sitzungsdetails
Zweck
Zeigen Sie Informationen über die spezifische SSL-Sitzung an.
Aktion
Verwenden Sie den show services ssl session 56 Befehl.
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
Session ID : 56
Connection Type : PROXY
SSL Profile : SSL_PROFILE
Resumed Session : No
One-crypto : Disabled
Async-crypto : Enabled
Renegotiation count : 0
Server Certificate Subject Name : /C=IN/ST=KA/L=BNG/O=JN/OU=XYZ/CN=server/emailAddress=ser
Server Cert verification status : OK
CRL check : Enabled
Action : Allow
SSL_T Details :
Key size : 2048
cipher : ECDHE-RSA-AES256-GCM-SHA384
TLS version : 1.2
SSL_I Details :
Key size : 2048
Cipher : ECDHE-RSA-AES256-GCM-SHA384
TLS version : 1.2
Bedeutung
Mit diesem Befehl erhalten Sie detaillierte Informationen zur jeweiligen SSL-Sitzung. Beispiel:
Sitzungs-ID, Verbindungstyp und SSL-Profil, die für die Sitzung verwendet werden.
Name des Serverzertifikats Betreff und Überprüfungsstatus.
CRL-Prüfstatus und -aktion.
Ssl-Initiations- und Terminierungsdetails.
Die Quellschnittstelle und die Zielschnittstelle für diese Sitzung.
Weitere Informationen zu den Ausgabefeldern des Befehls finden Sie unter Show Security Flow Session SSL.
SSL-Zertifikate anzeigen
Zweck
Zeigen Sie die auf dem Gerät verfügbaren digitalen Zertifikate an.
Aktion
Verwenden Sie im Betriebsmodus den show services ssl certificate all Befehl.
user@host > show services ssl certificate all
Lsys Name : root-logical-system
PIC:fwdd0 fpc[0] pic[0] ------
CertId
-----------------------------
ssl-inspect-ca
ssl-cert-4kBedeutung
Zeigen Sie die Liste aller auf dem Gerät aktiven SSL-Zertifikate an. SSL-Sitzungen verwenden diese Zertifikate, um eine sichere Kommunikation zwischen einem Client und einem Server herzustellen.
Weitere Informationen zu den Ausgabefeldern des Befehls finden Sie unter SSL-Zertifikat für Showdienste.
SSL-Zertifikatsinformationen anzeigen
Zweck
Zeigen Sie kurze Informationen zum SSL-Zertifikat an.
Aktion
Verwenden Sie im Betriebsmodus den show services ssl certificate brief certificate-id certificate-identifier Befehl. Folgende Beispiele zeigen Befehlsausgänge für CA-Zertifikat und lokale Zertifikate.
user@host > show services ssl certificate brief certificate-id trusted-ca
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
CertID : trusted-ca
Certificate Type : CA-CERT
Issuer : /C=IN/ST=KA/L=BNG/O=XYZ/OU=ABC/CN=5.0.0.1/emailAddress=newca@test.com
Subject : /C=IN/ST=KA/L=BNG/O=XYZ/OU=ABC/CN=5.0.0.1/emailAddress=newca@test.com
Public Key algorithm : rsaEncryptionuser@host> show services ssl certificate brief certificate-id ssl-inspect-ca
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
CertID : ssl-inspect-ca
Certificate Type : LOCAL-CERT
Issuer : /DC=dc/CN=xyz.com/OU=IT/O=abc/L=bng/ST=KA/C=IN
Subject : /DC=dc/CN=xyz.com/OU=IT/O=abc/L=bng/ST=KAC=IN
Validity :
Not before : Mon 02/18/2019 07:30:37 AM
Not after : Sat 02/17/2024 07:30:37 AM
Public Key algorithm : rsaEncryption
Bedeutung
Zeigt Details zum Zertifikat an, einschließlich Zertifikat-ID, Typ, Emittent des Zertifikats und verwendeter Verschlüsselungsalgorithmus. In type diesem Feld wird der Typ des Zertifikats CA-CERT oder LOCAL-CERT angezeigt. DAS CA-Cert-Zertifikat ist ein autorisiertes Zertifikat, das von der vertrauenswürdigen Zertifizierungsstelle ausgestellt wird, und LOCAL-CERT ist ein selbstsigniertes Zertifikat.
Beachten Sie, dass die Ausgabe der Befehle je nach Zertifikatstyp unterschiedlich ist.
Weitere Informationen zu den Ausgabefeldern des Befehls finden Sie unter SSL-Zertifikat für Showdienste.
SSL-Zertifikatsdetails anzeigen
Zweck
Detailinformationen zum SSL-Zertifikat anzeigen.
Aktion
Verwenden Sie im Betriebsmodus den show services ssl certificate detail certificate-identifier Befehl.
user@host > show services ssl certificate detail certificate-id ssl-inspect-ca
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
CertID : ssl-inspect-ca
Certificate Type : LOCAL-CERT
cert modify time : Mon 02/18/2019 07:30:37 AM
key modify time : Mon 02/18/2019 07:30:23 AM
certificate version : 3
serial number : 72 a4 a8 12 0e a0 da 5f ee 27 47 d8 19 7c 76 b5
Issuer : /DC=dc/CN=xyz.com/OU=IT/O=xyz/L=blr/ST=KA/C=IN
Subject : /DC=dc/CN=xyz.com/OU=IT/O=xyz/L=blr/ST=KA/C=IN
Validity :
Not before : Mon 02/18/2019 07:30:37 AM
Not after : Sat 02/17/2024 07:30:37 AM
Public Key algorithm : rsaEncryption
Signature Algorithm : sha256WithRSAEncryption
user@host > show services ssl certificate detail certificate-id test
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
CertID : test
Certificate Type : CA-CERT
cert modify time : Mon 09/02/2019 09:47:48 PM
certificate version : 1
serial number : 21 a8 d6 00 eb 24 1f 78 9a e5 0e ec 6a 39 ce 65 66 42 8c 0a
Issuer : /C=IN/ST=KA/L=BLR/O=XYZ/OU=ABC/CN=5.0.0.1/emailAddress=newca@test.com
Subject : /C=IN/ST=KA/L=BLR/O=XYZ/OU=ABC/CN=5.0.0.1/emailAddress=newca@test.com
Public Key algorithm : rsaEncryption
Signature Algorithm : sha256WithRSAEncryption
CRL :
present : no
check : enabled
download-failed : true
check-on-download-fail : enabled
Bedeutung
Zeigt Details zum Zertifikat an, einschließlich Zertifikat-ID, Typ, zuletzt geändertes Datum, Version, Seriennummer, Emittent, Betreff, Gültigkeit und verschlüsselungsalgorithmus.
Beispiel:
Typ des Zertifikats. In
typediesem Feld wird der Typ des Zertifikats CA-CERT oder LOCAL-CERT angezeigt. DAS CA-Cert-Zertifikat ist ein autorisiertes Zertifikat, das von der vertrauenswürdigen Zertifizierungsstelle ausgestellt wird, und LOCAL-CERT ist ein selbstsigniertes Zertifikat.Betreff und Emittent des Zertifikats.
Gültigkeit des Zertifikats vom Datum bis zum Datum.
Öffentliche Schlüsselalgorithmen verwendet.
Algorithmus, der von der Zertifizierungsstelle zur Unterzeichnung des Zertifikats verwendet wird.
CRL-bezogene Updates (nur CA-Zertifikate)
Weitere Informationen zu den Ausgabefeldern des Befehls finden Sie unter SSL-Zertifikat für Showdienste.
SSL-Proxyzähler alle
Zweck
Alle statistischen Zähler für die SSL-Proxysitzungen anzeigen.
Aktion
Verwenden Sie im Betriebsmodus den show services ssl proxy counters all Befehl.
user@host > show services ssl proxy counters all
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
session create failed 0
non SSL sessions recieved 0
Memory failures 0
session dropped 0
sessions matched 0
sessions created 0
sessions destroyed 0
sessions ignored 0
sessions ignored : backup only 0
sessions whitelisted : IP based 0
sessions whitelisted : url based 0
crl : data added 0
crl : certificate revoked 0
crl : no crl info present 0
crl : no CA certificate 0
SSL sessions 0
SMTP over STARTTLS 0
IMAP over STARTTLS 0
POP3 over STARTTLS 0
SMTP sessions 0
IMAP sessions 0
POP3 sessions 0
Server not supporting STARTTLS 0
Client not supporting STARTTLS 0
Unified policy : default profile hit 0
Unified policy : no default profile 0
Bedeutung
Die Ausgabe zeigt die Leistungsindikatorendetails in Bezug auf SSL-Proxysitzungen an. Diese Leistungsindikatoren werden im Allgemeinen erhöht, wenn bestimmte Aktivitäten auftreten, z. B. sitzungsgleiche Sitzungen, erstellte Sitzungen usw.
Beispiel:
Anzahl der erstellten, abgestimmten, ignorierten oder zerstörten Sitzungen.
Anzahl der sitzungsbasierten Sitzungen basierend auf IP-Adresse und URL-Kategorien.
Sitzungsanzahl basierend auf CRL-bezogenen Informationen wie durchgeführte neue Updates oder widerrufene Zertifikate, keine CRL-Präsentation oder kein CA-Zertifikat vorhanden.
Anzahl der Sitzungen, die dem Standard-SSL-Proxyprofil in einer einheitlichen Richtlinie entsprechen.
Anzahl der sitzungsbedingt unterbrochenen SSL-Proxy-Profile.
Weitere Informationen zu den Ausgabefeldern des Befehls finden Sie unter show services ssl proxy counters.
SSL-Proxyzählerinformationen
Zweck
Zeigen Sie statistische Zähler für die SSL-Proxysitzung an, um Informationen zu den Sitzungen bereitzustellen.
Aktion
Verwenden Sie im Betriebsmodus den show services ssl proxy counters info Befehl.
user@host > show services ssl proxy counters info
Lsys Name : root-logical-system
PIC:fpc0 ------
sessions matched 0
sessions created 0
sessions destroyed 0
sessions ignored 0
sessions ignored : backup only 0
sessions whitelisted : IP based 0
sessions whitelisted : url based 0
crl : data added 1
crl : certificate revoked 0
crl : no crl info present 0
crl : no CA certificate 0
SSL sessions 0
SMTP over STARTTLS 0
IMAP over STARTTLS 0
POP3 over STARTTLS 0
SMTP sessions 0
IMAP sessions 0
POP3 sessions 0
Server not supporting STARTTLS 0
Client not supporting STARTTLS 0
Unified policy : default profile hit 0
Unified policy : no default profile 0 Bedeutung
In der Ausgabe werden die Leistungsindikatorendetails für die SSL-Proxysitzung angezeigt. Diese Leistungsindikatoren werden im Allgemeinen erhöht, wenn bestimmte Aktivitäten auftreten, z. B. sitzungsgleiche Sitzungen, erstellte Sitzungen usw.
Beispiel:
Anzahl der erstellten, abgestimmten, ignorierten oder zerstörten Sitzungen.
Anzahl der sitzungsterminierten Sitzungen.
Sitzungsanzahl basierend auf CRL-bezogenen Informationen wie durchgeführte neue Aktualisierungen, widerrufene Zertifikate, keine CRL-Präsentation oder kein CA-Zertifikat vorhanden.
Anzahl der Sitzungen, die dem Standard-SSL-Proxyprofil in einer einheitlichen Richtlinie entsprechen.
Anzahl der sitzungsbedingt unterbrochenen SSL-Proxy-Profile.
Weitere Informationen zu den Ausgabefeldern des Befehls finden Sie unter show services ssl proxy counters.
Fehler bei SSL-Proxyzählern
Zweck
Zeigen Sie statistische Zähler für die Fehler an, die in der SSL-Proxysitzung aufgetreten sind.
Aktion
Verwenden Sie im Betriebsmodus den show services ssl proxy counters errors Befehl.
user@host > show services ssl proxy counters errors
Lsys Name : root-logical-system
PIC:fpc0 ------
Session create failed 0
non SSL sessions received 0
memory failures 0
session dropped 7 Bedeutung
Die Ausgabe zeigt die Leistungsindikatorendetails für die Fehler an, die in einer SSL-Proxysitzung aufgetreten sind. Beispiel:
Anzahl fehlgeschlagener Sitzungen.
Anzahl der nicht-SSL-Sitzungen, die auf dem System empfangen wurden.
Anzahl unterbrochener Sitzungen.
Weitere Informationen zu den Ausgabefeldern des Befehls finden Sie unter show services ssl proxy counters.
SSL-Proxyprofildetails anzeigen
Zweck
Zeigen Sie Informationen zum SSL-Proxyprofil an.
Aktion
Verwenden Sie im Betriebsmodus den show services ssl proxy profile profile-name Befehl.
user@host > show services ssl proxy profile profile-name
Lsys Name : root-logical-system
PIC:fwdd0 fpc[0] pic[0] ------
Profile: ssl-proxy
enable-tracing: false
root-ca expired: false
allow non-ssl session: true
ssl-termination-id: 65537
ssl-initiation-id: 65537
Number of whitelist entries: 0 Bedeutung
Die Ausgabe des Befehls zeigt die Details des SSL-Proxyprofils an. Beispiel:
Anzahl der zulässigen Sitzungen.
Unabhängig davon, ob die Nicht-SSL-Sitzungen zulässig sind.
Unabhängig davon, ob das Stammzertifikat aktiv oder abgelaufen ist.
Weitere Informationen zu den Ausgabefeldern des Befehls finden Sie unter SSL-Proxyprofil der Showdienste.
SSL-Proxy-Profile anzeigen
Zweck
Zeigen Sie alle auf dem Gerät konfigurierten SSL-Proxyprofile an.
Aktion
Verwenden Sie im Betriebsmodus den show services ssl proxy profile all Befehl.
user@host > show services ssl proxy profile all
Lsys Name : root-logical-system
PIC:fwdd0 fpc[0] pic[0] ------
ID Name
10 p1
11 p2
Bedeutung
Die Ausgabe zeigt die Liste der auf dem Gerät verfügbaren SSL-Proxyprofile an.
Weitere Informationen zu den Ausgabefeldern des Befehls finden Sie unter SSL-Proxyprofil der Showdienste.
SSL-Proxysitzungs-Cache-Statistiken anzeigen
Zweck
Zeigen Sie die Daten für den SSL-Proxysitzungs-Cache an.
Aktion
Verwenden Sie im Betriebsmodus den show services ssl proxy session-cache statistics Befehl.
user@host > show services ssl proxy session-cache statistics
Lsys Name : root-logical-system
PIC: fpc0 fpc[0] pic[0]------------
Session cache hit : 0
Session cache miss : 0
Session cache full : 0
Bedeutung
Die Befehlsausgabe zeigt cache-Statistiken für SSL-Proxysitzungen an. Sie können die Details abrufen, z. B. die Anzahl der Informationen, die mit einer SSL-Sitzung im Cache zusammenhängen, oder die Anzahl der Fehlenden Informationen zu einer SSL-Sitzung im Cache und die Anzahl der Zeiten, in denen das Sitzungs-Cache-Limit erreicht wird.
Weitere Informationen zu den Ausgabefeldern des Befehls finden Sie unter Statistiken zu SSL-Proxysitzungs-Cache.
Zusammenfassung des SSL-Proxysitzungs-Cache anzeigen
Zweck
Zeigen Sie kurze Informationen zu den im SSL-Proxysitzungs-Cache gespeicherten Einträgen an.
Aktion
Verwenden Sie im Betriebsmodus den show services ssl proxy session-cache entries summary Befehl.
user@host > show services ssl proxy session-cache entries summary
Lsys Name : root-logical-system
PIC:fwdd0 fpc[0] pic[0] ------
Hash Entry 1
Status: ACTIVE, Time to expire 294 seconds
Session Id Length: 32
Session Id: 1b 2a 9f 5f d8 6e d2 cd 6b b8 89 e8 88 07 75 80 32 c2 54 5a c7 9b 12 a2 e6 5c f0 6d 85 c5 40 4b
Dst IP: 5.0.0.1, Dst Port: 20753
SSL-T Profile Id: 2, SSL-I Profile Id: 2 Bedeutung
Die Befehlsausgabe zeigt Details zu SSL-Proxysitzungs-Cache-Einträgen an, wie im Cache gespeicherte Sitzungsinformationen, Sitzungsstatus, Sitzungs-ID und Länge der Sitzungs-ID, Ziel-IP-Adresse und Portdetails sowie SSL-Initiierungs- und SSL-Terminierungsprofil-IDs.
Weitere Informationen zu den Ausgabefeldern des Befehls finden Sie unter "Show Services SSL Proxy Session-Cache"-Einträge.
SSL-Proxysitzungs-Cache-Details anzeigen
Zweck
Detailinformationen zu den im SSL-Proxysitzungs-Cache gespeicherten Einträgen anzeigen.
Aktion
Verwenden Sie im Betriebsmodus den show services ssl proxy session-cache entries detail Befehl.
user@host> show services ssl proxy session-cache entries detail
Lsys Name : root-logical-system
PIC: fpc0 fpc[0] pic[0
Hash Entry: 1
Status: ACTIVE, Time to expire 294 seconds
Session Id Length: 32
Session Id: c1 6e 88 65 43 9f 57 2f 0f 06 f7 4b 03 c5 38 58 74 b4 4f 43 66 9a 6f c7 a6 2a ae 22 ab f8 b4 ce
Dst IP: 5.0.0.1, Dst Port: 4433
SSL-T Profile Id: 2, SSL-I Profile Id: 2
Session Info:
Interdicted cert type [0x0]: CA issued, Authentication failed
Server cert verification result: unable to get local issuer certificate [0x14]
Server name extn len: 0, name: None
Server cert chain hash: b5 3d cd cb ca 35 81 5a db 6f 83 ab 5e a0 19 73
SSL-TERM session:
SSL ver: 0x303
Compression Method: 0
Cipher Id: 0x3000004
Master Key Length: 48
SSL-INIT session:
SSL ver: 0x303
Compression Method: 0
Cipher Id: 0x3000004
Master Key Length: 48
Hash Entry:2
Status: EXPIRED
Session Id Length: 32
Session Id: 1b 2a 9f 5f d8 6e d2 cd 6b b8 89 e8 88 07 75 80 32 c2 54 5a c7 9b 12 a2 e6 5c f0 6d 85 c5 40 4b
Dst IP: 5.0.0.1, Dst Port: 4433,
SSL-T Profile Id: 2, SSL-I Profile Id: 2
Session Info:
-------------
Interdicted cert type [0x0]: CA issued, Authentication failed
Server cert verification result: unable to get local issuer certificate [0x14]
Server name extn len: 0, name: None
Server cert chain hash: b5 3d cd cb ca 35 81 5a db 6f 83 ab 5e a0 19 73
SSL-TERM session:
----------------
SSL ver: 0x303
Compression Method: 0
Cipher Id: 0x3000004
Master Key Length: 48
SSL-INIT session:
----------------
SSL ver: 0x303
Compression Method: 0
Cipher Id: 0x3000004
Master Key Length: 48
Stale entry in cache: 1 Bedeutung
Die Befehlsausgabe zeigt die Details der im Cache gespeicherten SSL-Proxysitzungseinträge an. Beispiel:
Status des Cache-Eintrags mit Ablaufzeit. Da die Cache-Einträge nur für ein kurzes Intervall gültig sind.
Sitzungs-ID und Länge der Sitzungs-ID.
Ziel-IP-Adresse und Zielportdetails.
Details zu SSL-Initiierung und SSL-Terminierung.
Serverzertifikatvalidierung, interdiktierte Zertifikatsdetails.
Weitere Informationen zu den Ausgabefeldern des Befehls finden Sie unter "Show Services SSL Proxy Session-Cache"-Einträge.
Statistiken zum SSL-Proxy-Zertifikat-Cache-Eintrag anzeigen
Zweck
Zeigen Sie Daten für den SSL-Proxy-Zertifikat-Cache an.
Aktion
Verwenden Sie im Betriebsmodus den show services ssl proxy certificate–cache statistics Befehl.
user@host > show services ssl proxy certificate–cache statistics
Lsys Name : root-logical-system
PIC:fwdd0 fpc[0] pic[0] ------
cert cache hit 0
cert cache miss 0
cert cache full Bedeutung
Die Befehlsausgabe zeigt SSL-Proxy-Zertifikat-Cache-Statistiken an, z. B. die Anzahl der Verfügbaren Übereinstimmungen im Cache, die Anzahl der Zeiten, in denen ein Eintrag nicht im Cache gefunden wird oder die Anzahl der Zeiten, in denen der Cache voll war.
Weitere Informationen zu den Ausgabefeldern des Befehls finden Sie unter Statistiken zu SSL-Proxy-Zertifikat-Cache.
Zusammenfassung des SSL-Proxy-Zertifikat-Cache anzeigen
Zweck
Zeigen Sie kurze Informationen zu den im SSL-Proxy-Zertifikat-Cache gespeicherten Einträgen an.
Aktion
Verwenden Sie im Betriebsmodus den show services ssl proxy certificate-cache entries summary Befehl.
user@host > show services ssl proxy certificate-cache entries summary
Lsys Name : root-logical-system
PIC:fwdd0 fpc[0] pic[0] ------
Cache Entries : 1
Serial number : 0x12345678
SSL-I Profile Id: 1
Num of CRL updates: 0Bedeutung
Die Befehlsausgabe zeigt Zertifikat-Cache-Statistiken wie Anzahl der Cache-Einträge, Seriennummer, Profil-ID und CRL-Aktualisierungen an.
Weitere Informationen zu den Ausgabefeldern des Befehls finden Sie unter "Show Services SSL Proxy Certificate-Cache"-Einträge.
Ssl-Proxy-Zertifikat-Cache-Eingabedetails anzeigen
Zweck
Detailinformationen zu den im SSL-Proxy-Zertifikat-Cache gespeicherten Einträgen anzeigen.
Aktion
Verwenden Sie im Betriebsmodus den show services ssl proxy certificate-cache entries detail Befehl.
user@host > show services ssl proxy certificate-cache entries detail
Lsys Name : root-logical-system
PIC:fwdd0 fpc[0] pic[0] ------
Cache entrie : 1
Serial number : 0x12345678
SSL-I Profile Id: 1
Num of CRL updates: 0
Status: Active: Time to expire 570 seconds
Cert Info:
-------------
Interdicted cert type [0x0]: CA issued, Authentication failed
Server cert verification result: unable to get local issuer certificate [0x14]
Cert reference count: 2
Subject: /C=IN/ST=KA/O=XYZ Inc/CN=ABC Inc Root CA/emailAddress=newca@test.com
Issuer: /CN=SSL-PROXY:DUMMY_CERT:GENERATED DUE TO SRVR AUTH FAILURE Bedeutung
Mit diesem Befehl erhalten Sie detaillierte Informationen zu den im Cache gespeicherten SSL-Proxy-Zertifikatseinträgen. Beispiel:
Anzahl der Einträge im Zertifikat-Cache.
Anzahl der CRL-Aktualisierungen, die durchgeführt wurden, bis das angeklagte Zertifikat dem Zertifikat-Cache hinzugefügt wurde.
Zwischenspeicherung des interdiktierten Zertifikats und der Ergebnisse der Serverzertifikatüberprüfung.
Betreff und Emittent des angeklagten Zertifikats.
Weitere Informationen zu den Ausgabefeldern des Befehls finden Sie unter "Show Services SSL Proxy Certificate-Cache"-Einträge.
SSL-Proxystatus anzeigen
Zweck
Zeigen Sie den Status der SSL-Proxysitzung an.
Aktion
Verwenden Sie im Betriebsmodus den show services ssl proxy status Befehl.
user@host > show services ssl proxy status
PIC:fwdd0 fpc[0] pic[0] ------
One-Crypto : Enable
Async Crypto : disable
Proxy-activation : Only if interested svcs configured
Local Logging : disable
SSLFP-PKID Link : UP
Certificate cache : -
Certificate Cache activated : yes
Invalidate certificate cache on CRL update : Disabled
Max cert cache nodes : 4000
Cert cache node in use : 0
Session cache : -
Session cache activated : Activated
Max session cache node : 19660
Session cache node in use : 0
Bedeutung
Der Befehl zeigt den Gesamtstatus des SSL-Proxys an. Beispiel:
Kryptostatus, Proxyaktivierungsstatus.
Details zum Zertifikats-Cache, z. B. ob der Zertifikatscache aktiviert ist, CRL-Konfiguration, Cache-Größe des Zertifikats, Anzahl der derzeit verwendeten Zertifikate im Zertifikats-Cache.
Details zum Sitzungs-Cache, z. B. ob der Sitzungs-Cache aktiviert ist, Größe des Sitzungs-Cache, Anzahl der Sitzungen im Sitzungs-Cache, die derzeit verwendet werden.
Weitere Informationen zu den Ausgabefeldern des Befehls finden Sie unter SHOW SERVICES SSL Proxy Status.
Ssl-Terminierungszählerdetails anzeigen
Zweck
Zeigen Sie statistische Leistungsindikatordetails für die SSL-Terminierungssitzungen an.
Aktion
Verwenden Sie im Betriebsmodus den show services ssl termination counters all Befehl.
user@host > show services ssl termination counters all
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
Memory errors 0
Handshake errors 0
Cert Cache errors 0
Server Protection errors 0
Proxy errors 0
Crypto errors 0
Certificate errors 0
One-Crypto errors 0
Async-Crypto errors 0
Mirror errors 0
handshakes started 0
handshakes completed 0
active sessions 0
Interdicted cert generated 0
proxy: sessions created 0
proxy: sessions active 0
proxy: sessions ignored 0
proxy: renegotiation ignored 0
proxy: session resumption 0
proxy: secure renegotiation 0
proxy: insecure renegotiation 0
proxy: multiple renegotiation 0
proxy: reneg after resumption 0
init: passthrough requests 0
init: start requests 0
proxy: ECDSA based srvr auth 0
proxy: RSA based srvr auth 0
Bedeutung
Mit diesem Befehl erhalten Sie nützliche Informationen zu den SSL-Terminierungszählern. Beispiel:
Anzahl der Fehler im Zusammenhang mit Speicher, Handshake, Zertifikat, Serverschutz, Proxy und Krypto
Anzahl der von Sitzungen eingeleiteten Handshake und abgeschlossenen Handshake.
Anzahl der aktiven Sitzungen.
Anzahl der SSL-Proxysitzungen wie erstellte Sitzungen, aktive Sitzungen, ignorierte Sitzungen, neu ausgehandelte Sitzungen, Sitzungen mit verschiedenen Authentifizierungsmethoden usw.
Weitere Informationen zu den Ausgabefeldern des Befehls finden Sie unter Leistungsindikatoren für SSL-Terminierung anzeigen.
Anzeigen von SSL-Terminierungszählerfehlern
Zweck
Zeigen Sie statistische Zähler für die Fehler an, die in der SSL-Terminierungssitzung aufgetreten sind.
Aktion
Verwenden Sie im Betriebsmodus den show services ssl termination counters error Befehl.
user@host > show services ssl termination counters error
Lsys Name : root-logical-system
PIC:fpc0 ------
Memory errors 0
Handshake errors 0
Cert Cache errors 0
Server Protection errors 0
Proxy errors 0
Crypto errors 0
Certificate errors 0
One-Crypto errors 0
Async-Crypto errors 0
Mirror errors 0Bedeutung
Die Ausgabe des Befehls zeigt die Anzahl der Fehler im Zusammenhang mit Speicher, Handshake, Zertifikat, Serverschutz, Proxy und Verschlüsselung sowie SSL-Entschlüsselungsspiegelung an.
Weitere Informationen zu den Ausgabefeldern des Befehls finden Sie unter Leistungsindikatoren für SSL-Terminierung anzeigen.
SSL-Terminierungszähler-Handshake anzeigen
Zweck
Zeigen Sie statistische Zähler für den SSL-Terminierungs-Handshake an.
Aktion
Verwenden Sie im Betriebsmodus den show services ssl termination counters handshake Befehl.
user@host > show services ssl termination counters handshake
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
handshakes started 0
handshakes completed 0
active sessions 0
Interdicted cert generated 0
proxy: sessions created 0
proxy: sessions active 0
proxy: sessions ignored 0
proxy: renegotiation ignored 0
proxy: session resumption 0
proxy: secure renegotiation 0
proxy: insecure renegotiation 0
proxy: multiple renegotiation 0
proxy: reneg after resumption 0
init: passthrough requests 0
init: start requests 0
proxy: ECDSA based srvr auth 0
proxy: RSA based srvr auth 0Bedeutung
Mit diesem Befehl erhalten Sie nützliche Informationen zu den SSL-Terminierungszählern. Beispiel:
Anzahl der von Sitzungen eingeleiteten Handshake und abgeschlossenen Handshake.
Anzahl aktiver Sitzungen
Anzahl der SSL-Proxysitzungen wie erstellte Sitzungen, aktive Sitzungen, ignorierte Sitzungen, neu ausgehandelte Sitzungen, Sitzungen mit verschiedenen Authentifizierungsmethoden usw.
Weitere Informationen zu den Ausgabefeldern des Befehls finden Sie unter Leistungsindikatoren für SSL-Terminierung anzeigen.
SSL-Terminierungsprofil anzeigen
Zweck
Alle auf dem Gerät verfügbaren SSL-Terminierungsprofile anzeigen.
Aktion
Verwenden Sie im Betriebsmodus den show services ssl termination profile all Befehl.
user@host > show services ssl termination profile all
Lsys Name : root-logical-system
PIC:fwdd0 fpc[0] pic[0] ------
ID Name
65536 p1_65536_proxy_t
65537 p2_65537_proxy_t
Bedeutung
Die Ausgabe des Befehls zeigt die Liste aller auf dem Gerät verfügbaren SSL-Terminierungsprofile an.
Weitere Informationen zu den Ausgabefeldern des Befehls finden Sie unter Profil zum SSL-Terminierungsprofil für Dienste anzeigen.
Zusammenfassung des SSL-Terminierungsprofils anzeigen
Zweck
Zeigen Sie die kurzen Informationen zu den SSL-Terminierungsprofilen an.
Aktion
Verwenden Sie im Betriebsmodus den show services ssl termination profile brief profile-name Befehl.
user@host > show services ssl termination profile brief profile-name
Lsys Name : root-logical-system
PIC: fwdd0 fpc[0] pic[0] ----------
Profile: ssl-termination
allow non-ssl session: true
preferred-ciphers: medium
Num of url categories configured: NIL
Number of whitelist entries: 0 Bedeutung
Zeigt die Details des SSL-Terminierungsprofils an.
Mit diesem Befehl erhalten Sie nützliche Informationen zum SSL-Initiierungsprofil. Beispiel:
Unabhängig davon, ob das Stammzertifikat aktiv oder abgelaufen ist.
Bevorzugte SSL-Verschlüsselung mit Schlüsselstärke.
Unabhängig davon, ob die Nicht-SSL-Sitzungen zulässig sind.
Anzahl der konfigurierten URL-Kategorien.
Anzahl zulässiger Sitzungen.
Weitere Informationen zu den Ausgabefeldern des Befehls finden Sie unter Profil zum SSL-Terminierungsprofil für Dienste anzeigen.
Ssl-Terminierungsprofildetails anzeigen
Zweck
Zeigen Sie die Detailinformationen zum SSL-Terminierungsprofil an.
Aktion
Verwenden Sie im Betriebsmodus den show services ssl termination profile detail profile-name Befehl.
user@host > show services ssl termination profile detail profile-name
Lsys Name : root-logical-system
PIC: fwdd0 fpc[0] pic[0] ----------
Profile : p1_65536_proxy_t
allow non-ssl session : true
preferred-ciphers : medium
Num of url categories configured : 0
Protocol version : all
Client Authentication : notset
Server Authentication : Required
Crypto Mode : hw-sync
Session Resumption : Enabled
CRL check : Enabled
Certficate RSA : p_5
Renegotiation : only secure allowed
Custom ciphers : 0
Server cert : 0
Decrypt Mirror : Disabled
Trusted CA : 0
handshakes started 0
handshakes completed 0
active sessions 0
total handshake errors 0
Data Errors 0
session resumption 0
secure renegotiation 0
insecure renegotiation 0
multiple renegotiation 0
reneg after resumption 0
no_reneg alert by peer 0
drop on reneg 0
Bedeutung
Mit diesem Befehl erhalten Sie nützliche Informationen zum SSL-Terminierungsprofil. Beispiel:
Profilname.
Unabhängig davon, ob die Nicht-SSL-Sitzungen zulässig sind.
Kategorie der bevorzugten Verschlüsselung.
Anzahl der konfigurierten URL-Kategorien.
Protokollversion.
Status der verschiedenen Funktionen wie Client- und Serverauthentifizierung, Widerrufsklagen für Zertifikate, Sitzungserhebung, Sitzungsneuverhandlungen.
Trusted CA und benutzerdefinierte Cipher-Details.
Spiegelungsstatus der SSL-Entschlüsselung.
SSL-Terminierung pro Profilstatistik oder Leistungsindikator.
Weitere Informationen zu den Ausgabefeldern des Befehls finden Sie unter Profil zum SSL-Terminierungsprofil für Dienste anzeigen.
SSL-Initiierungszählerdetails anzeigen
Zweck
Zeigen Sie statistische Zähler für die SSL-Initiationssitzung an.
Aktion
Verwenden Sie im Betriebsmodus den show services ssl initiation counters all Befehl.
user@host > show services ssl initiation counters all
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
Memory errors 0
Handshake errors 0
Cert Cache errors 0
Server Protection errors 0
Proxy errors 0
Crypto errors 0
Certificate errors 0
One-Crypto errors 0
Async-Crypto errors 0
Mirror errors 0
handshakes started 0
handshakes completed 0
active sessions 0
Interdicted cert generated 0
proxy: sessions created 0
proxy: sessions active 0
proxy: sessions ignored 0
proxy: renegotiation ignored 0
proxy: session resumption 0
proxy: secure renegotiation 0
proxy: insecure renegotiation 0
proxy: multiple renegotiation 0
proxy: reneg after resumption 0
init: passthrough requests 0
init: start requests 0
proxy: ECDSA based srvr auth 0
proxy: RSA based srvr auth 0
Bedeutung
Mit diesem Befehl erhalten Sie nützliche Informationen zu den SSL-Initiationszählern. Beispiel:
Anzahl der Fehler im Zusammenhang mit Speicher, Handshake, Zertifikat, Serverschutz, Proxy und Krypto.
Anzahl der Sitzungen, die einen Handshake eingeleitet und den Handshake abgeschlossen haben.
Anzahl der aktiven Sitzungen.
Anzahl der SSL-Proxysitzungen wie erstellte Sitzungen, aktive Sitzungen, ignorierte Sitzungen, neu ausgehandelte Sitzungen, Sitzungen mit verschiedenen Authentifizierungsmethoden usw.
Weitere Informationen zu den Ausgabefeldern des Befehls finden Sie unter "Show Services SSL Initiation Counters".
SSL-Initiierungszähler-Handshake anzeigen
Zweck
Zeigen Sie statistische Zähler für den SSL-Initiierungs-Handshake an.
Aktion
Verwenden Sie im Betriebsmodus den show services ssl initiation counters handshake Befehl.
user@host > show services ssl initiation counters handshake
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
handshakes started 0
handshakes completed 0
active sessions 0
Interdicted cert generated 0
proxy: sessions created 0
proxy: sessions active 0
proxy: sessions ignored 0
proxy: renegotiation ignored 0
proxy: session resumption 0
proxy: secure renegotiation 0
proxy: insecure renegotiation 0
proxy: multiple renegotiation 0
proxy: reneg after resumption 0
init: passthrough requests 0
init: start requests 0
proxy: ECDSA based srvr auth 0
proxy: RSA based srvr auth 0 Bedeutung
Mit diesem Befehl erhalten Sie nützliche Informationen zu den SSL-Initiationszählern. Beispiel:
Anzahl der von Sitzungen eingeleiteten Handshake und abgeschlossenen Handshake.
Anzahl der aktiven Sitzungen.
Anzahl der SSL-Proxysitzungen wie erstellte Sitzungen, aktive Sitzungen, ignorierte Sitzungen, neu ausgehandelte Sitzungen, Sitzungen mit verschiedenen Authentifizierungsmethoden usw.
Weitere Informationen zu den Ausgabefeldern des Befehls finden Sie unter "Show Services SSL Initiation Counters".
SSL-Initiierungszählerfehler anzeigen
Zweck
Zeigen Sie statistische Zähler für die Fehler an, die in der SSL-Initiierungssitzung aufgetreten sind.
Aktion
Verwenden Sie im Betriebsmodus den show services ssl initiation counters error Befehl.
user@host > show services ssl initiation counters error
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
Memory errors 0
Handshake errors 0
Cert Cache errors 0
Server Protection errors 0
Proxy errors 0
Crypto errors 0
Certificate errors 0
One-Crypto errors 0
Async-Crypto errors 0
Mirror errors 0Bedeutung
Die Ausgabe des Befehls zeigt die Anzahl der Fehler im Zusammenhang mit Speicher, Handshake, Zertifikat, Serverschutz, Proxy und Verschlüsselung sowie SSL-Entschlüsselungsspiegelung an.
Weitere Informationen zu den Ausgabefeldern des Befehls finden Sie unter "Show Services SSL Initiation Counters".
SSL-Initiationsprofil anzeigen
Zweck
Alle auf dem Gerät verfügbaren SSL-Initiationsprofile anzeigen.
Aktion
Verwenden Sie im Betriebsmodus den show services ssl initiation profile all Befehl.
user@host > show services ssl initiation profile allLsys Name : root-logical-system PIC: fwdd0 fpc[0] pic[0] ---------- ID Name 65536 SSL_PROFILE_65536_proxy_i
Bedeutung
Die Ausgabe des Befehls zeigt die Liste aller auf dem Gerät verfügbaren SSL-Einleitungsprofile an.
Weitere Informationen zu den Ausgabefeldern des Befehls finden Sie unter "Show Services SSL Initiation Profile".
Zusammenfassung des SSL-Initiationsprofils anzeigen
Zweck
Zeigen Sie die Zusammenfassung des SSL-Initiationsprofils an.
Aktion
Verwenden Sie im Betriebsmodus den show services ssl initiation profile brief profile-name Befehl.
user@host > show services ssl initiation profile brief profile-name
Lsys Name : root-logical-system
PIC: fpc0 fpc[0] pic[0] ----------
Profile : SSL_PROFILE_65536_proxy_i
allow non-ssl session : true
preferred-ciphers : medium
Num of url categories configured : 0
Bedeutung
Zeigt die Details des SSL-Initiationsprofils an, wie z. B. Profilname, zulässige Nicht-SSL-Sitzungen, bevorzugte Verschlüsselungen und Anzahl der konfigurierten URL-Kategorien.
Weitere Informationen zu den Ausgabefeldern des Befehls finden Sie unter "Show Services SSL Initiation Profile".
Ssl-Initiationsprofildetails anzeigen
Zweck
Zeigen Sie die Detailinformationen zum SSL-Initiierungsprofil an.
Aktion
Verwenden Sie im Betriebsmodus den show services ssl initiation profile detail profile-name Befehl.
user@host > show services ssl initiation profile detail profile-name
Lsys Name : root-logical-system
PIC: fpc0 fpc[0] pic[0] ----------
Profile : SSL_PROFILE_65536_proxy_i
allow non-ssl session : true
preferred-ciphers : medium
Num of url categories configured : 0
Protocol version : all
Client Authentication : notset
Server Authentication : Ignore Failure
Crypto Mode : sw
Session Resumption : Enabled
CRL check : Enabled
Certficate RSA : ssl-inspect-ca
Renegotiation : only secure allowed
Custom ciphers : 0
Server cert : 0
Decrypt Mirror : Disabled
Trusted CA : 1
handshakes started 8
handshakes completed 8
active sessions 0
total handshake errors 0
Data Errors 0
session resumption 5
secure renegotiation 0
insecure renegotiation 0
multiple renegotiation 0
reneg after resumption 0
no_reneg alert by peer 0
drop on reneg 0
Bedeutung
Mit diesem Befehl erhalten Sie nützliche Informationen zum SSL-Initiierungsprofil. Beispiel:
Unabhängig davon, ob die Nicht-SSL-Sitzungen zulässig sind.
Bevorzugte SSL-Verschlüsselung
Anzahl der konfigurierten URL-Kategorien.
Status der verschiedenen Funktionen wie Client- und Serverauthentifizierung, Widerrufsklagen für Zertifikate, Sitzungserhebung, Sitzungsneuverhandlungen.
Trusted CA, Chain Zertifikate Details.
Spiegelungsstatus der SSL-Entschlüsselung
Leistungsindikatoren für SSL-Initiierungssitzungen
Weitere Informationen zu den Ausgabefeldern des Befehls finden Sie unter "Show Services SSL Initiation Profile".
SSL-Drop-Protokolldetails anzeigen
Zweck
Zeigen Sie Informationen zu SSL-Drop-Logdateien an.
Aktion
Verwenden Sie im Betriebsmodus den show services ssl droplogs Befehl.
user@host > show services ssl droplogs
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0]-------
===========log mesg for cpu 0
===========log mesg for cpu 1
log mesg is File: ../../../../../../../../../src/junos/jsf/plugin/ssl/jssl_common.c Function: jssl_X509_verify_cert Line: 3767 Message: unable to get local issuer certificate C2S plugin chain : [Plugin junos-jdpi: action: ignore]-> [Plugin junos-tcp-svr-emul: action: none]-> [Plugin junos-ssl-proxy: action: ignore]-> [Plugin junos-ssl-term: action: none]-> [Plugin junos-dpi-stream: action: none]-> [Plugin junos-idp-stream: action: ignore]-> [Plugin junos-ssl-init: action: none]-> [Plugin junos-tcp-clt-emul: action: none] S2C plugin chain: [Plugin junos-jdpi: action: ignore]-> [Plugin junos-tcp-clt-emul: action: none]-> [Plugin junos-ssl-init: action: none]-> [Plugin junos-dpi-stream: action: none]-> [Plugin junos-idp-stream: action: ignore]-> [Plugin junos-ssl-term: action: none]-> [Plugin junos-ssl-proxy: action: ignore]-> [Plugin junos-tcp-svr-emul: action: none] SourceIP:5.0.0.1 DestIP:4.0.0.1 Source Port:40281 Dest Port:443 source interface:ge-0/0/1.0 Destination interface:ge-0/0/0.0 source zone:untrust destination Zone:trustBedeutung
Die Ausgabe des Befehls zeigt die Details zu verweigerten/abgebrochenen Sitzungen an. Sie können die Befehlsausgabe verwenden, um das Problem zu verstehen, warum die Sitzung abgebrochen wurde.