Commandes opérationnelles pour résoudre les problèmes liés aux sessions SSL
Dans l’interface de ligne de commande, les commandes opérationnelles fournissent des informations utiles pour le dépannage. Vous pouvez utiliser les commandes show pour déterminer et analyser les compteurs et mesures statistiques liés à toute perte de trafic et prendre une mesure corrective appropriée. Cette rubrique aborde les informations relatives à la surveillance, l’affichage et la vérification des problèmes liés à SSL à l’aide des commandes du mode opérationnel.
Affichage des sessions SSL actives
But
Affichez des informations sur toutes les sessions SSL actives sur l’équipement.
Action
Utilisez la show security flow session ssl commande.
user@host >
show security flow session ssl
Output:
Session ID: 1, Policy name: default-permit/5, Timeout: 1746, Valid
In: 4.0.0.1/37369 --> 5.0.0.1/4433;tcp, Conn Tag: 0x0, If: xe-0/0/0.0, Pkts: 6, Bytes: 671,
Out: 5.0.0.1/4433 --> 4.0.0.1/37369;tcp, Conn Tag: 0x0, If: xe-0/0/1.0, Pkts: 7, Bytes: 1635,
Sens
La sortie affiche toutes les informations de flux standard, notamment l’ID de session, la valeur de délai d’expiration de la session, la direction du flux, l’adresse source et le port, l’adresse et le port de destination, le protocole IP et l’interface utilisée pour la session. Exemple:
Le nom de la stratégie qui a autorisé ce trafic est « default-permit ».
La valeur de délai d’expiration.
L’ADRESSE IP source et l’ADRESSE IP de destination s’affichent avec leurs ports source/destination respectifs.
Type de session.
L’interface source et l’interface de destination pour cette session.
Pour plus d’informations sur les champs de sortie de la commande, voir show security flow session ssl.
Affichage des détails des sessions SSL actives
But
Affichez des informations détaillées sur les sessions SSL actives sur l’équipement.
Action
À partir du mode opérationnel, utilisez la show security flow session extensive ssl commande.
user@host >
show security flow session extensive ssl
Output:
Session ID: 1, Status: Normal
Flags: 0x42/0x20000000/0x2/0x10103
Policy name: 1/5
Source NAT pool: Null
Dynamic application: junos:UNKNOWN,
Encryption: Unknown
Application traffic control rule-set: INVALID, Rule: INVALID
Maximum timeout: 1800, Current timeout: 1636
Session State: Valid
Start time: 587131, Duration: 163
In: 4.0.0.1/37369 --> 5.0.0.1/4433;tcp,
Conn Tag: 0x0, Interface: xe-0/0/0.0,
Session token: 0x7, Flag: 0x2621
Route: 0xa0010, Gateway: 4.0.0.1, Tunnel: 0
Port sequence: 0, FIN sequence: 0,
FIN state: 0,
Pkts: 6, Bytes: 671
Out: 5.0.0.1/4433 --> 4.0.0.1/37369;tcp,
Conn Tag: 0x0, Interface: xe-0/0/1.0,
Session token: 0x8, Flag: 0x2620
Route: 0xb0010, Gateway: 5.0.0.1, Tunnel: 0
Port sequence: 0, FIN sequence: 0,
FIN state: 0,
Pkts: 7, Bytes: 1635
Total sessions: 1
Sens
La sortie de la commande affiche des informations détaillées sur toutes les sessions actives sur l’équipement.
Les informations d’affichage incluent l’ID de session, le pool source de traduction d’adresses réseau (NAT) (si nat source est utilisé), la valeur d’expiration configurée pour la session et son délai d’expiration standard, l’heure de début de session et la durée d’activité de la session, la direction du flux, l’adresse et le port source, l’adresse de destination et le port, le protocole IP et l’interface utilisée pour la session.
Exemple:
Le nom de la stratégie qui a autorisé ce trafic est « default-permit ».
Valeurs de délai d’expiration maximum et de délai d’expiration en cours.
Type de session.
L’interface source et l’interface de destination pour la session
Adresse IP de la passerelle du saut suivant
Détails des règles AppQoS.
Pour plus de détails sur les champs de sortie de la commande, voir afficher services ssl session.
Affichage des détails spécifiques des sessions SSL
But
Affichez des informations sur la session SSL spécifique.
Action
Utilisez la show services ssl session 56 commande.
Lsys Name : root-logical-system PIC:fpc0 fpc[0] pic[0] ------ Session ID : 56 Connection Type : PROXY SSL Profile : SSL_PROFILE Resumed Session : No One-crypto : Disabled Async-crypto : Enabled Renegotiation count : 0 Server Certificate Subject Name : /C=IN/ST=KA/L=BNG/O=JN/OU=XYZ/CN=server/emailAddress=ser Server Cert verification status : OK CRL check : Enabled Action : Allow SSL_T Details : Key size : 2048 cipher : ECDHE-RSA-AES256-GCM-SHA384 TLS version : 1.2 SSL_I Details : Key size : 2048 Cipher : ECDHE-RSA-AES256-GCM-SHA384 TLS version : 1.2
Sens
Cette commande vous permet d’obtenir des informations détaillées sur la session SSL spécifique. Exemple:
ID de session, type de connexion et profil SSL utilisés pour la session.
Nom de l’objet du certificat du serveur et statut de vérification.
CRL vérifier l’état et les actions.
Détails relatifs au lancement et à la terminaison SSL.
L’interface source et l’interface de destination pour cette session.
Pour plus d’informations sur les champs de sortie de la commande, voir show security flow session ssl.
Afficher les certificats SSL
But
Affichez les certificats numériques disponibles sur l’équipement.
Action
À partir du mode opérationnel, utilisez la show services ssl certificate all commande.
user@host >
show services ssl certificate all
Lsys Name : root-logical-system
PIC:fwdd0 fpc[0] pic[0] ------
CertId
-----------------------------
ssl-inspect-ca
ssl-cert-4k
Sens
Affichez la liste de tous les certificats SSL actifs sur l’équipement. Les sessions SSL utilisent ces certificats pour établir une communication sécurisée entre un client et un serveur.
Pour plus d’informations sur les champs de sortie de la commande, voir « show services ssl certificate ».
Afficher les informations sur les certificats SSL
But
Affichez de brèves informations sur le certificat SSL.
Action
À partir du mode opérationnel, utilisez la show services ssl certificate brief certificate-id certificate-identifier commande. Les exemples suivants affichent les sorties de commande pour le certificat d’autorité de certification et les certificats locaux.
user@host >
show services ssl certificate brief certificate-id trusted-ca
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
CertID : trusted-ca
Certificate Type : CA-CERT
Issuer : /C=IN/ST=KA/L=BNG/O=XYZ/OU=ABC/CN=5.0.0.1/emailAddress=newca@test.com
Subject : /C=IN/ST=KA/L=BNG/O=XYZ/OU=ABC/CN=5.0.0.1/emailAddress=newca@test.com
Public Key algorithm : rsaEncryption
user@host>
show services ssl certificate brief certificate-id ssl-inspect-ca
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
CertID : ssl-inspect-ca
Certificate Type : LOCAL-CERT
Issuer : /DC=dc/CN=xyz.com/OU=IT/O=abc/L=bng/ST=KA/C=IN
Subject : /DC=dc/CN=xyz.com/OU=IT/O=abc/L=bng/ST=KAC=IN
Validity :
Not before : Mon 02/18/2019 07:30:37 AM
Not after : Sat 02/17/2024 07:30:37 AM
Public Key algorithm : rsaEncryption
Sens
Affiche des détails sur le certificat, notamment l’ID du certificat, le type, l’émetteur du certificat et l’algorithme de chiffrement utilisé. Le type
champ affiche le type de certificat ( CA-CERT ou LOCAL-CERT). Le certificat CA-Cert est un certificat autorisé émis par l’autorité de certification approuvée et local-CERT est un certificat autosigné.
Notez que la sortie des commandes varie en fonction du type de certificat.
Pour plus d’informations sur les champs de sortie de la commande, voir « show services ssl certificate ».
Afficher les détails du certificat SSL
But
Affichez les informations détaillées sur le certificat SSL.
Action
À partir du mode opérationnel, utilisez la show services ssl certificate detail certificate-identifier commande.
user@host >
show services ssl certificate detail certificate-id ssl-inspect-ca
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
CertID : ssl-inspect-ca
Certificate Type : LOCAL-CERT
cert modify time : Mon 02/18/2019 07:30:37 AM
key modify time : Mon 02/18/2019 07:30:23 AM
certificate version : 3
serial number : 72 a4 a8 12 0e a0 da 5f ee 27 47 d8 19 7c 76 b5
Issuer : /DC=dc/CN=xyz.com/OU=IT/O=xyz/L=blr/ST=KA/C=IN
Subject : /DC=dc/CN=xyz.com/OU=IT/O=xyz/L=blr/ST=KA/C=IN
Validity :
Not before : Mon 02/18/2019 07:30:37 AM
Not after : Sat 02/17/2024 07:30:37 AM
Public Key algorithm : rsaEncryption
Signature Algorithm : sha256WithRSAEncryption
user@host >
show services ssl certificate detail certificate-id test
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
CertID : test
Certificate Type : CA-CERT
cert modify time : Mon 09/02/2019 09:47:48 PM
certificate version : 1
serial number : 21 a8 d6 00 eb 24 1f 78 9a e5 0e ec 6a 39 ce 65 66 42 8c 0a
Issuer : /C=IN/ST=KA/L=BLR/O=XYZ/OU=ABC/CN=5.0.0.1/emailAddress=newca@test.com
Subject : /C=IN/ST=KA/L=BLR/O=XYZ/OU=ABC/CN=5.0.0.1/emailAddress=newca@test.com
Public Key algorithm : rsaEncryption
Signature Algorithm : sha256WithRSAEncryption
CRL :
present : no
check : enabled
download-failed : true
check-on-download-fail : enabled
Sens
Affiche des détails sur le certificat, notamment l’ID du certificat, le type, la date de dernière modification, la version, le numéro de série, l’émetteur,l’objet, la validité et l’algorithme de chiffrement utilisé.
Exemple:
Type du certificat. Le
type
champ affiche le type de certificat ( CA-CERT ou LOCAL-CERT). Le certificat CA-Cert est un certificat autorisé émis par l’autorité de certification approuvée et local-CERT est un certificat autosigné.Objet et émetteur du certificat.
Validité du certificat à compter de cette date et à ce jour.
Algorithmes de clés publiques utilisés.
Algorithme utilisé par l’autorité de certification pour signer le certificat.
Mises à jour relatives aux CRL (certificats CA uniquement)
Pour plus d’informations sur les champs de sortie de la commande, voir « show services ssl certificate ».
Le proxy SSL compteur tout
But
Affichez tous les compteurs statistiques des sessions proxy SSL.
Action
À partir du mode opérationnel, utilisez la show services ssl proxy counters all commande.
user@host >
show services ssl proxy counters all
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
session create failed 0
non SSL sessions recieved 0
Memory failures 0
session dropped 0
sessions matched 0
sessions created 0
sessions destroyed 0
sessions ignored 0
sessions ignored : backup only 0
sessions whitelisted : IP based 0
sessions whitelisted : url based 0
crl : data added 0
crl : certificate revoked 0
crl : no crl info present 0
crl : no CA certificate 0
SSL sessions 0
SMTP over STARTTLS 0
IMAP over STARTTLS 0
POP3 over STARTTLS 0
SMTP sessions 0
IMAP sessions 0
POP3 sessions 0
Server not supporting STARTTLS 0
Client not supporting STARTTLS 0
Unified policy : default profile hit 0
Unified policy : no default profile 0
Sens
La sortie affiche les détails des compteurs relatifs aux sessions de proxy SSL. Ces compteurs augmentent généralement chaque fois qu’il y a une activité comme la correspondance de session, la session créée, etc.
Exemple:
Nombre de sessions créées, jumelées, ignorées ou détruites.
Nombre de sessions autorisées en fonction des catégories d’adresses IP et d’URL.
Nombre de sessions basé sur les informations liées aux CRL, telles que les nouvelles mises à jour effectuées ou les certificats révoqués, l’absence de CRL ou l’absence de certificat d’autorité de certification.
Nombre de sessions correspondant au profil proxy SSL par défaut dans une stratégie unifiée.
Le nombre de sessions a diminué en raison de l’absence de profil de proxy SSL par défaut.
Pour plus de détails sur les champs de sortie de la commande, voir afficher les services compteurs de proxy ssl.
Informations sur les compteurs de proxy SSL
But
Affichez les compteurs statistiques de la session de proxy SSL pour fournir des informations sur les sessions.
Action
À partir du mode opérationnel, utilisez la show services ssl proxy counters info commande.
user@host >
show services ssl proxy counters info
Lsys Name : root-logical-system
PIC:fpc0 ------
sessions matched 0
sessions created 0
sessions destroyed 0
sessions ignored 0
sessions ignored : backup only 0
sessions whitelisted : IP based 0
sessions whitelisted : url based 0
crl : data added 1
crl : certificate revoked 0
crl : no crl info present 0
crl : no CA certificate 0
SSL sessions 0
SMTP over STARTTLS 0
IMAP over STARTTLS 0
POP3 over STARTTLS 0
SMTP sessions 0
IMAP sessions 0
POP3 sessions 0
Server not supporting STARTTLS 0
Client not supporting STARTTLS 0
Unified policy : default profile hit 0
Unified policy : no default profile 0
Sens
La sortie affiche les détails des compteurs de la session proxy SSL associée. Ces compteurs augmentent généralement chaque fois qu’il y a une activité comme la correspondance de session, la session créée, etc.
Exemple:
Nombre de sessions créées, jumelées, ignorées ou détruites.
Nombre de sessions autorisées.
Nombre de sessions basé sur les informations liées aux CRL telles que les nouvelles mises à jour effectuées, les certificats révoqués, la présence de CRL ou l’absence de certificat d’autorité de certification.
Nombre de sessions correspondant au profil proxy SSL par défaut dans une stratégie unifiée.
Le nombre de sessions a diminué en raison de l’absence de profil de proxy SSL par défaut.
Pour plus de détails sur les champs de sortie de la commande, voir afficher les services compteurs de proxy ssl.
Proxy SSL contre les erreurs
But
Affichez des compteurs statistiques pour les erreurs rencontrées dans la session de proxy SSL.
Action
À partir du mode opérationnel, utilisez la show services ssl proxy counters errors commande.
user@host >
show services ssl proxy counters errors
Lsys Name : root-logical-system
PIC:fpc0 ------
Session create failed 0
non SSL sessions received 0
memory failures 0
session dropped 7
Sens
La sortie affiche les détails des compteurs pour les erreurs rencontrées dans une session de proxy SSL. Exemple:
Nombre de sessions ayant échoué.
Nombre de sessions non SSL reçues sur le système.
Nombre de sessions abandonnées.
Pour plus de détails sur les champs de sortie de la commande, voir afficher les services compteurs de proxy ssl.
Afficher les détails du profil du proxy SSL
But
Afficher les informations sur le profil du proxy SSL.
Action
À partir du mode opérationnel, utilisez la show services ssl proxy profile profile-name commande.
user@host >
show services ssl proxy profile profile-name
Lsys Name : root-logical-system
PIC:fwdd0 fpc[0] pic[0] ------
Profile: ssl-proxy
enable-tracing: false
root-ca expired: false
allow non-ssl session: true
ssl-termination-id: 65537
ssl-initiation-id: 65537
Number of whitelist entries: 0
Sens
La sortie de la commande affiche les détails du profil du proxy SSL. Exemple:
Nombre de sessions autorisées.
Si les sessions non SSL sont autorisées.
Si le certificat racine est actif ou a expiré.
Pour plus d’informations sur les champs de sortie de la commande, voir afficher le profil du proxy ssl de services.
Afficher les profils de proxy SSL
But
Affichez tous les profils de proxy SSL configurés sur l’équipement.
Action
À partir du mode opérationnel, utilisez la show services ssl proxy profile all commande.
user@host >
show services ssl proxy profile all
Lsys Name : root-logical-system
PIC:fwdd0 fpc[0] pic[0] ------
ID Name
10 p1
11 p2
Sens
La sortie affiche la liste des profils de proxy SSL disponibles sur l’équipement.
Pour plus d’informations sur les champs de sortie de la commande, voir afficher le profil du proxy ssl de services.
Afficher les statistiques du cache de session du proxy SSL
But
Affichez les données du cache de session du proxy SSL.
Action
À partir du mode opérationnel, utilisez la show services ssl proxy session-cache statistics commande.
user@host >
show services ssl proxy session-cache statistics
Lsys Name : root-logical-system
PIC: fpc0 fpc[0] pic[0]------------
Session cache hit : 0
Session cache miss : 0
Session cache full : 0
Sens
La sortie de commande affiche les statistiques du cache de session du proxy SSL. Vous pouvez obtenir des détails tels que le nombre de fois que les informations relatives à une session SSL sont trouvées dans le cache ou le nombre de fois que les informations relatives à une session SSL sont manquantes dans le cache, et le nombre de fois où la limite de cache de session est atteinte.
Pour plus de détails sur les champs de sortie de la commande, voir afficher les statistiques de cache de session du proxy ssl.
Afficher le résumé du cache de session du proxy SSL
But
Affichez de brèves informations sur les entrées stockées dans le cache de session proxy SSL.
Action
À partir du mode opérationnel, utilisez la show services ssl proxy session-cache entries summary commande.
user@host >
show services ssl proxy session-cache entries summary
Lsys Name : root-logical-system
PIC:fwdd0 fpc[0] pic[0] ------
Hash Entry 1
Status: ACTIVE, Time to expire 294 seconds
Session Id Length: 32
Session Id: 1b 2a 9f 5f d8 6e d2 cd 6b b8 89 e8 88 07 75 80 32 c2 54 5a c7 9b 12 a2 e6 5c f0 6d 85 c5 40 4b
Dst IP: 5.0.0.1, Dst Port: 20753
SSL-T Profile Id: 2, SSL-I Profile Id: 2
Sens
La sortie de commande affiche les détails des entrées du cache de session du proxy SSL, telles que les informations de session enregistrées dans le cache, l’état de session, l’ID de session et la durée de l’ID de session, l’adresse IP de destination et les détails de port, ainsi que les ID de profil de lancement SSL et de terminaison SSL.
Pour plus de détails sur les champs de sortie de la commande, voir afficher les entrées de cache de session proxy ssl.
Afficher les détails du cache de session proxy SSL
But
Affichez des informations détaillées sur les entrées stockées dans le cache de session proxy SSL.
Action
À partir du mode opérationnel, utilisez la show services ssl proxy session-cache entries detail commande.
user@host>
show services ssl proxy session-cache entries detail
Lsys Name : root-logical-system
PIC: fpc0 fpc[0] pic[0
Hash Entry: 1
Status: ACTIVE, Time to expire 294 seconds
Session Id Length: 32
Session Id: c1 6e 88 65 43 9f 57 2f 0f 06 f7 4b 03 c5 38 58 74 b4 4f 43 66 9a 6f c7 a6 2a ae 22 ab f8 b4 ce
Dst IP: 5.0.0.1, Dst Port: 4433
SSL-T Profile Id: 2, SSL-I Profile Id: 2
Session Info:
Interdicted cert type [0x0]: CA issued, Authentication failed
Server cert verification result: unable to get local issuer certificate [0x14]
Server name extn len: 0, name: None
Server cert chain hash: b5 3d cd cb ca 35 81 5a db 6f 83 ab 5e a0 19 73
SSL-TERM session:
SSL ver: 0x303
Compression Method: 0
Cipher Id: 0x3000004
Master Key Length: 48
SSL-INIT session:
SSL ver: 0x303
Compression Method: 0
Cipher Id: 0x3000004
Master Key Length: 48
Hash Entry:2
Status: EXPIRED
Session Id Length: 32
Session Id: 1b 2a 9f 5f d8 6e d2 cd 6b b8 89 e8 88 07 75 80 32 c2 54 5a c7 9b 12 a2 e6 5c f0 6d 85 c5 40 4b
Dst IP: 5.0.0.1, Dst Port: 4433,
SSL-T Profile Id: 2, SSL-I Profile Id: 2
Session Info:
-------------
Interdicted cert type [0x0]: CA issued, Authentication failed
Server cert verification result: unable to get local issuer certificate [0x14]
Server name extn len: 0, name: None
Server cert chain hash: b5 3d cd cb ca 35 81 5a db 6f 83 ab 5e a0 19 73
SSL-TERM session:
----------------
SSL ver: 0x303
Compression Method: 0
Cipher Id: 0x3000004
Master Key Length: 48
SSL-INIT session:
----------------
SSL ver: 0x303
Compression Method: 0
Cipher Id: 0x3000004
Master Key Length: 48
Stale entry in cache: 1
Sens
La sortie de commande affiche les détails des entrées de session proxy SSL mises en cache. Exemple:
État de l’entrée dans le cache avec la date d’expiration. Parce que les entrées de cache sont valides uniquement pour un court intervalle.
ID de session et durée de l’ID de session.
Adresse IP de destination et détails du port de destination.
Détails de la session d’initiation SSL et de terminaison SSL.
Validation des certificats du serveur, détails du certificat interdictés.
Pour plus de détails sur les champs de sortie de la commande, voir afficher les entrées de cache de session proxy ssl.
Afficher les statistiques d’entrée dans le cache de certificats du proxy SSL
But
Affichez les données du cache de certificats du proxy SSL.
Action
À partir du mode opérationnel, utilisez la show services ssl proxy certificate–cache statistics commande.
user@host >
show services ssl proxy certificate–cache statistics
Lsys Name : root-logical-system
PIC:fwdd0 fpc[0] pic[0] ------
cert cache hit 0
cert cache miss 0
cert cache full
Sens
La sortie de commande affiche les statistiques du cache de certificat du proxy SSL, telles que le nombre de fois que la correspondance est disponible dans le cache, le nombre de fois qu’une entrée n’est pas trouvée dans le cache ou le nombre de fois où le cache était complet.
Pour plus d’informations sur les champs de sortie de la commande, reportez-vous à la rubrique Show Services ssl proxy certificate-cache statistics.
Afficher le résumé de l’entrée du cache de certificats SSL Proxy
But
Affichez de brèves informations sur les entrées stockées dans le cache de certificats du proxy SSL.
Action
À partir du mode opérationnel, utilisez la show services ssl proxy certificate-cache entries summary commande.
user@host >
show services ssl proxy certificate-cache entries summary
Lsys Name : root-logical-system
PIC:fwdd0 fpc[0] pic[0] ------
Cache Entries : 1
Serial number : 0x12345678
SSL-I Profile Id: 1
Num of CRL updates: 0
Sens
La sortie de commande affiche les statistiques du cache de certificat, telles que le nombre d’entrées de cache, le numéro de série, l’ID de profil et les mises à jour CRL.
Pour plus d’informations sur les champs de sortie de la commande, voir afficher les entrées de cache de certificat de proxy ssl de services.
Afficher les détails d’entrée du cache de certificats proxy SSL
But
Affichez des informations détaillées sur les entrées stockées dans le cache de certificats du proxy SSL.
Action
À partir du mode opérationnel, utilisez la show services ssl proxy certificate-cache entries detail commande.
user@host >
show services ssl proxy certificate-cache entries detail
Lsys Name : root-logical-system
PIC:fwdd0 fpc[0] pic[0] ------
Cache entrie : 1
Serial number : 0x12345678
SSL-I Profile Id: 1
Num of CRL updates: 0
Status: Active: Time to expire 570 seconds
Cert Info:
-------------
Interdicted cert type [0x0]: CA issued, Authentication failed
Server cert verification result: unable to get local issuer certificate [0x14]
Cert reference count: 2
Subject: /C=IN/ST=KA/O=XYZ Inc/CN=ABC Inc Root CA/emailAddress=newca@test.com
Issuer: /CN=SSL-PROXY:DUMMY_CERT:GENERATED DUE TO SRVR AUTH FAILURE
Sens
Cette commande vous permet d’obtenir des informations détaillées sur les entrées de certificat du proxy SSL en cache. Exemple:
Nombre d’entrées présentes dans le cache de certificat.
Nombre de fois que les mises à jour CRL ont été effectuées jusqu’à ce que le certificat interdicté soit ajouté au cache de certificat.
Certificat interdicté mis en cache et résultats de vérification du certificat du serveur.
Objet et émetteur du certificat interdicté.
Pour plus d’informations sur les champs de sortie de la commande, voir afficher les entrées de cache de certificat de proxy ssl de services.
Afficher l’état du proxy SSL
But
Affichez l’état de la session de proxy SSL.
Action
À partir du mode opérationnel, utilisez la show services ssl proxy status commande.
user@host >
show services ssl proxy status
PIC:fwdd0 fpc[0] pic[0] ------
One-Crypto : Enable
Async Crypto : disable
Proxy-activation : Only if interested svcs configured
Local Logging : disable
SSLFP-PKID Link : UP
Certificate cache : -
Certificate Cache activated : yes
Invalidate certificate cache on CRL update : Disabled
Max cert cache nodes : 4000
Cert cache node in use : 0
Session cache : -
Session cache activated : Activated
Max session cache node : 19660
Session cache node in use : 0
Sens
La commande affiche l’état global du proxy SSL. Exemple:
Statut crypto, état d’activation du proxy.
Détails du cache de certificat tels que l’activation du cache de certificats, la configuration CRL, la taille du cache de certificat, le nombre de certificats dans le cache de certificat actuellement utilisés.
Détails du cache de session tels que l’activation du cache de session, la taille du cache de session, le nombre de sessions dans le cache de session actuellement utilisés.
Pour plus d’informations sur les champs de sortie de la commande, voir afficher l’état du proxy ssl des services.
Afficher les détails du compteur de terminaison SSL
But
Affichez les compteurs statistiques pour les sessions de terminaison SSL.
Action
À partir du mode opérationnel, utilisez la show services ssl termination counters all commande.
user@host >
show services ssl termination counters all
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
Memory errors 0
Handshake errors 0
Cert Cache errors 0
Server Protection errors 0
Proxy errors 0
Crypto errors 0
Certificate errors 0
One-Crypto errors 0
Async-Crypto errors 0
Mirror errors 0
handshakes started 0
handshakes completed 0
active sessions 0
Interdicted cert generated 0
proxy: sessions created 0
proxy: sessions active 0
proxy: sessions ignored 0
proxy: renegotiation ignored 0
proxy: session resumption 0
proxy: secure renegotiation 0
proxy: insecure renegotiation 0
proxy: multiple renegotiation 0
proxy: reneg after resumption 0
init: passthrough requests 0
init: start requests 0
proxy: ECDSA based srvr auth 0
proxy: RSA based srvr auth 0
Sens
Cette commande vous permet d’obtenir des informations utiles sur les compteurs de terminaison SSL. Exemple:
Nombre d’erreurs liées à la mémoire, à la négociation, au certificat, à la protection du serveur, au proxy et à la crypto
Le nombre de sessions a initié une négociation et terminé la négociation.
Nombre de sessions actives.
Nombre de sessions proxy SSL telles que les sessions créées, les sessions actives, les sessions ignorées, les sessions renégociées, les sessions avec différentes méthodes d’authentification, etc.
Pour plus de détails sur les champs de sortie de la commande, voir afficher les compteurs de terminaison ssl des services.
Affichage des erreurs des compteurs de terminaison SSL
But
Affichez des compteurs statistiques pour les erreurs rencontrées dans la session de terminaison SSL.
Action
À partir du mode opérationnel, utilisez la show services ssl termination counters error commande.
user@host >
show services ssl termination counters error
Lsys Name : root-logical-system
PIC:fpc0 ------
Memory errors 0
Handshake errors 0
Cert Cache errors 0
Server Protection errors 0
Proxy errors 0
Crypto errors 0
Certificate errors 0
One-Crypto errors 0
Async-Crypto errors 0
Mirror errors 0
Sens
La sortie de la commande affiche le nombre d’erreurs liées à la mémoire, à la négociation, au certificat, à la protection du serveur, au proxy et à la crypto, ainsi qu’à la fonctionnalité de mise en miroir de déchiffrement SSL.
Pour plus de détails sur les champs de sortie de la commande, voir afficher les compteurs de terminaison ssl des services.
Afficher les compteurs de terminaison SSL négociation
But
Afficher les compteurs statistiques pour la négociation de terminaison SSL.
Action
À partir du mode opérationnel, utilisez la show services ssl termination counters handshake commande.
user@host >
show services ssl termination counters handshake
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
handshakes started 0
handshakes completed 0
active sessions 0
Interdicted cert generated 0
proxy: sessions created 0
proxy: sessions active 0
proxy: sessions ignored 0
proxy: renegotiation ignored 0
proxy: session resumption 0
proxy: secure renegotiation 0
proxy: insecure renegotiation 0
proxy: multiple renegotiation 0
proxy: reneg after resumption 0
init: passthrough requests 0
init: start requests 0
proxy: ECDSA based srvr auth 0
proxy: RSA based srvr auth 0
Sens
Cette commande vous permet d’obtenir des informations utiles sur les compteurs de terminaison SSL. Exemple:
Le nombre de sessions a initié une négociation et terminé la négociation.
Nombre de sessions actives
Nombre de sessions proxy SSL telles que les sessions créées, les sessions actives, les sessions ignorées, les sessions renégociées, les sessions avec différentes méthodes d’authentification, etc.
Pour plus de détails sur les champs de sortie de la commande, voir afficher les compteurs de terminaison ssl des services.
Afficher le profil de terminaison SSL
But
Affichez tous les profils de terminaison SSL disponibles sur l’équipement.
Action
À partir du mode opérationnel, utilisez la show services ssl termination profile all commande.
user@host >
show services ssl termination profile all
Lsys Name : root-logical-system
PIC:fwdd0 fpc[0] pic[0] ------
ID Name
65536 p1_65536_proxy_t
65537 p2_65537_proxy_t
Sens
La sortie de la commande affiche la liste de tous les profils de terminaison SSL disponibles sur l’équipement.
Pour plus d’informations sur les champs de sortie de la commande, reportez-vous au profil de terminaison ssl des services.
Afficher le résumé du profil de terminaison SSL
But
Affichez les brèves informations sur les profils de terminaison SSL.
Action
À partir du mode opérationnel, utilisez la show services ssl termination profile brief profile-name commande.
user@host >
show services ssl termination profile brief profile-name
Lsys Name : root-logical-system
PIC: fwdd0 fpc[0] pic[0] ----------
Profile: ssl-termination
allow non-ssl session: true
preferred-ciphers: medium
Num of url categories configured: NIL
Number of whitelist entries: 0
Sens
Affiche les détails du profil de terminaison SSL.
Cette commande vous permet d’obtenir des informations utiles sur le profil de lancement SSL. Exemple:
Si le certificat racine est actif ou a expiré.
Chiffrement SSL privilégié avec force clé.
Si les sessions non SSL sont autorisées.
Nombre de catégories d’URL configurées.
Nombre de sessions autorisées.
Pour plus d’informations sur les champs de sortie de la commande, reportez-vous au profil de terminaison ssl des services.
Afficher les détails du profil de terminaison SSL
But
Affichez les informations détaillées sur le profil de terminaison SSL.
Action
À partir du mode opérationnel, utilisez la show services ssl termination profile detail profile-name commande.
user@host >
show services ssl termination profile detail profile-name
Lsys Name : root-logical-system
PIC: fwdd0 fpc[0] pic[0] ----------
Profile : p1_65536_proxy_t
allow non-ssl session : true
preferred-ciphers : medium
Num of url categories configured : 0
Protocol version : all
Client Authentication : notset
Server Authentication : Required
Crypto Mode : hw-sync
Session Resumption : Enabled
CRL check : Enabled
Certficate RSA : p_5
Renegotiation : only secure allowed
Custom ciphers : 0
Server cert : 0
Decrypt Mirror : Disabled
Trusted CA : 0
handshakes started 0
handshakes completed 0
active sessions 0
total handshake errors 0
Data Errors 0
session resumption 0
secure renegotiation 0
insecure renegotiation 0
multiple renegotiation 0
reneg after resumption 0
no_reneg alert by peer 0
drop on reneg 0
Sens
Cette commande vous permet d’obtenir des informations utiles sur le profil de terminaison SSL. Exemple:
Nom du profil.
Si les sessions non SSL sont autorisées.
Catégorie du chiffrement préféré.
Nombre de catégories d’URL configurées.
Version du protocole.
État des différentes fonctionnalités telles que l’authentification du client et du serveur, les actions d’annulation de certificat, la reprise de session, la renégociation de session.
Ca fiable et détails de chiffrement personnalisés.
État miroir du déchiffrement SSL.
Terminaison SSL par statistiques ou compteurs de profil.
Pour plus d’informations sur les champs de sortie de la commande, reportez-vous au profil de terminaison ssl des services.
Afficher les détails des compteurs d’initiation SSL
But
Afficher les compteurs statistiques pour la session de lancement SSL.
Action
À partir du mode opérationnel, utilisez la show services ssl initiation counters all commande.
user@host >
show services ssl initiation counters all
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
Memory errors 0
Handshake errors 0
Cert Cache errors 0
Server Protection errors 0
Proxy errors 0
Crypto errors 0
Certificate errors 0
One-Crypto errors 0
Async-Crypto errors 0
Mirror errors 0
handshakes started 0
handshakes completed 0
active sessions 0
Interdicted cert generated 0
proxy: sessions created 0
proxy: sessions active 0
proxy: sessions ignored 0
proxy: renegotiation ignored 0
proxy: session resumption 0
proxy: secure renegotiation 0
proxy: insecure renegotiation 0
proxy: multiple renegotiation 0
proxy: reneg after resumption 0
init: passthrough requests 0
init: start requests 0
proxy: ECDSA based srvr auth 0
proxy: RSA based srvr auth 0
Sens
Cette commande vous permet d’obtenir des informations utiles sur les compteurs d’initiation SSL. Exemple:
Nombre d’erreurs liées à la mémoire, à la négociation, au certificat, à la protection du serveur, au proxy et à la cryptographie.
Le nombre de sessions a initié une négociation et terminé la négociation.
Nombre de sessions actives.
Nombre de sessions proxy SSL telles que les sessions créées, les sessions actives, les sessions ignorées, les sessions renégociées, les sessions avec différentes méthodes d’authentification, etc.
Pour plus de détails sur les champs de sortie de la commande, voir afficher les services contre le lancement ssl.
Afficher le lancement SSL Compteur Négociation
But
Afficher les compteurs statistiques pour la négociation d’initiation SSL.
Action
À partir du mode opérationnel, utilisez la show services ssl initiation counters handshake commande.
user@host >
show services ssl initiation counters handshake
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
handshakes started 0
handshakes completed 0
active sessions 0
Interdicted cert generated 0
proxy: sessions created 0
proxy: sessions active 0
proxy: sessions ignored 0
proxy: renegotiation ignored 0
proxy: session resumption 0
proxy: secure renegotiation 0
proxy: insecure renegotiation 0
proxy: multiple renegotiation 0
proxy: reneg after resumption 0
init: passthrough requests 0
init: start requests 0
proxy: ECDSA based srvr auth 0
proxy: RSA based srvr auth 0
Sens
Cette commande vous permet d’obtenir des informations utiles sur les compteurs d’initiation SSL. Exemple:
Le nombre de sessions a initié une négociation et terminé la négociation.
Nombre de sessions actives.
Nombre de sessions proxy SSL telles que les sessions créées, les sessions actives, les sessions ignorées, les sessions renégociées, les sessions avec différentes méthodes d’authentification, etc.
Pour plus de détails sur les champs de sortie de la commande, voir afficher les services contre le lancement ssl.
Affichage des erreurs de compteur d’initiation SSL
But
Affichez des compteurs statistiques pour les erreurs rencontrées dans la session de lancement SSL.
Action
À partir du mode opérationnel, utilisez la show services ssl initiation counters error commande.
user@host >
show services ssl initiation counters error
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
Memory errors 0
Handshake errors 0
Cert Cache errors 0
Server Protection errors 0
Proxy errors 0
Crypto errors 0
Certificate errors 0
One-Crypto errors 0
Async-Crypto errors 0
Mirror errors 0
Sens
La sortie de la commande affiche le nombre d’erreurs liées à la mémoire, à la négociation, au certificat, à la protection du serveur, au proxy et à la crypto, ainsi qu’à la fonctionnalité de mise en miroir de déchiffrement SSL.
Pour plus de détails sur les champs de sortie de la commande, voir afficher les services contre le lancement ssl.
Afficher le profil d’initiation SSL
But
Affichez tous les profils de lancement SSL disponibles sur l’équipement.
Action
À partir du mode opérationnel, utilisez la show services ssl initiation profile all commande.
user@host >
show services ssl initiation profile all
Lsys Name : root-logical-system PIC: fwdd0 fpc[0] pic[0] ---------- ID Name 65536 SSL_PROFILE_65536_proxy_i
Sens
La sortie de la commande affiche la liste de tous les profils d’initiation SSL disponibles sur l’équipement.
Pour plus de détails sur les champs de sortie de la commande, voir afficher le profil d’initiation ssl des services.
Afficher le résumé du profil d’initiation SSL
But
Affichez le résumé du profil de lancement SSL.
Action
À partir du mode opérationnel, utilisez la show services ssl initiation profile brief profile-name commande.
user@host >
show services ssl initiation profile brief profile-name
Lsys Name : root-logical-system
PIC: fpc0 fpc[0] pic[0] ----------
Profile : SSL_PROFILE_65536_proxy_i
allow non-ssl session : true
preferred-ciphers : medium
Num of url categories configured : 0
Sens
Affiche les détails du profil de lancement SSL, tels que le nom du profil, si les sessions non SSL sont autorisées, les chiffrements de préférence et le nombre de catégories d’URL configurées.
Pour plus de détails sur les champs de sortie de la commande, voir afficher le profil d’initiation ssl des services.
Afficher les détails du profil d’initiation SSL
But
Affichez les informations détaillées sur le profil de lancement SSL.
Action
À partir du mode opérationnel, utilisez la show services ssl initiation profile detail profile-name commande.
user@host >
show services ssl initiation profile detail profile-name
Lsys Name : root-logical-system
PIC: fpc0 fpc[0] pic[0] ----------
Profile : SSL_PROFILE_65536_proxy_i
allow non-ssl session : true
preferred-ciphers : medium
Num of url categories configured : 0
Protocol version : all
Client Authentication : notset
Server Authentication : Ignore Failure
Crypto Mode : sw
Session Resumption : Enabled
CRL check : Enabled
Certficate RSA : ssl-inspect-ca
Renegotiation : only secure allowed
Custom ciphers : 0
Server cert : 0
Decrypt Mirror : Disabled
Trusted CA : 1
handshakes started 8
handshakes completed 8
active sessions 0
total handshake errors 0
Data Errors 0
session resumption 5
secure renegotiation 0
insecure renegotiation 0
multiple renegotiation 0
reneg after resumption 0
no_reneg alert by peer 0
drop on reneg 0
Sens
Cette commande vous permet d’obtenir des informations utiles sur le profil de lancement SSL. Exemple:
Si les sessions non SSL sont autorisées.
Chiffrement SSL préféré
Nombre de catégories d’URL configurées.
État des différentes fonctionnalités telles que l’authentification du client et du serveur, les actions d’annulation de certificat, la reprise de session, la renégociation de session.
Ca de confiance, détails des certificats en chaîne.
État miroir du déchiffrement SSL
Compteurs de session d’initiation SSL
Pour plus de détails sur les champs de sortie de la commande, voir afficher le profil d’initiation ssl des services.
Afficher les détails du journal d’abandon SSL
But
Affichez les informations sur les journaux d’abandon SSL.
Action
À partir du mode opérationnel, utilisez la show services ssl droplogs commande.
user@host >
show services ssl droplogs
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0]-------
===========log mesg for cpu 0
===========log mesg for cpu 1
log mesg is File: ../../../../../../../../../src/junos/jsf/plugin/ssl/jssl_common.c Function: jssl_X509_verify_cert Line: 3767 Message: unable to get local issuer certificate C2S plugin chain : [Plugin junos-jdpi: action: ignore]-> [Plugin junos-tcp-svr-emul: action: none]-> [Plugin junos-ssl-proxy: action: ignore]-> [Plugin junos-ssl-term: action: none]-> [Plugin junos-dpi-stream: action: none]-> [Plugin junos-idp-stream: action: ignore]-> [Plugin junos-ssl-init: action: none]-> [Plugin junos-tcp-clt-emul: action: none] S2C plugin chain: [Plugin junos-jdpi: action: ignore]-> [Plugin junos-tcp-clt-emul: action: none]-> [Plugin junos-ssl-init: action: none]-> [Plugin junos-dpi-stream: action: none]-> [Plugin junos-idp-stream: action: ignore]-> [Plugin junos-ssl-term: action: none]-> [Plugin junos-ssl-proxy: action: ignore]-> [Plugin junos-tcp-svr-emul: action: none] SourceIP:5.0.0.1 DestIP:4.0.0.1 Source Port:40281 Dest Port:443 source interface:ge-0/0/1.0 Destination interface:ge-0/0/0.0 source zone:untrust destination Zone:trust
Sens
La sortie de la commande affiche les détails de session refusés/perdus. Vous pouvez utiliser la sortie de commande pour comprendre pourquoi la session a été abandonnée.