このページの
SSL セッションのトラブルシューティングに必要な運用コマンド
次のCLI、運用コマンドから、トラブルシューティングに役立つ情報が提供されます。show コマンドを使用して、トラフィック ロスに関連する統計カウンターとメトリックを判断および分析し、適切な是正措置を講じすることができます。このトピックでは、動作モード コマンドを使用した SSL 関連の問題の監視、表示、検証について説明します。
アクティブな SSL セッションの表示
目的
デバイス上のすべてのアクティブなSSLセッションに関する情報を表示します。
アクション
コマンドを show security flow session ssl 使用します。
user@host > show security flow session ssl
Output:
Session ID: 1, Policy name: default-permit/5, Timeout: 1746, Valid
In: 4.0.0.1/37369 --> 5.0.0.1/4433;tcp, Conn Tag: 0x0, If: xe-0/0/0.0, Pkts: 6, Bytes: 671,
Out: 5.0.0.1/4433 --> 4.0.0.1/37369;tcp, Conn Tag: 0x0, If: xe-0/0/1.0, Pkts: 7, Bytes: 1635, 意味
出力には、セッションID、セッションのタイムアウト値、フローの方向、送信元アドレスとポート、宛先アドレスとポート、IPプロトコル、セッションに使用されるインターフェイスなど、すべての標準フロー情報が表示されます。例:
このトラフィックを許可したポリシー名はデフォルトで許可されています。
タイムアウト値。
送信元 IP と宛先 IP の両方が、それぞれの送信元/宛先ポートと共に表示されます。
セッション タイプ。
このセッションの送信元インターフェイスと宛先インターフェイス。
コマンドの出力フィールドの詳細については、 セキュリティー フロー セッション ssl を示す を参照してください。
アクティブな SSL セッションの詳細の表示
目的
デバイス上のアクティブなSSLセッションの詳細情報を表示します。
アクション
動作モードから、 コマンドを show security flow session extensive ssl 使用します。
user@host > show security flow session extensive ssl
Output:
Session ID: 1, Status: Normal
Flags: 0x42/0x20000000/0x2/0x10103
Policy name: 1/5
Source NAT pool: Null
Dynamic application: junos:UNKNOWN,
Encryption: Unknown
Application traffic control rule-set: INVALID, Rule: INVALID
Maximum timeout: 1800, Current timeout: 1636
Session State: Valid
Start time: 587131, Duration: 163
In: 4.0.0.1/37369 --> 5.0.0.1/4433;tcp,
Conn Tag: 0x0, Interface: xe-0/0/0.0,
Session token: 0x7, Flag: 0x2621
Route: 0xa0010, Gateway: 4.0.0.1, Tunnel: 0
Port sequence: 0, FIN sequence: 0,
FIN state: 0,
Pkts: 6, Bytes: 671
Out: 5.0.0.1/4433 --> 4.0.0.1/37369;tcp,
Conn Tag: 0x0, Interface: xe-0/0/1.0,
Session token: 0x8, Flag: 0x2620
Route: 0xb0010, Gateway: 5.0.0.1, Tunnel: 0
Port sequence: 0, FIN sequence: 0,
FIN state: 0,
Pkts: 7, Bytes: 1635
Total sessions: 1意味
コマンドの出力には、デバイス上のアクティブなすべてのセッションに関する広範な情報が表示されます。
表示情報には、セッションID、ネットワーク アドレス変換(NAT)ソース プール(送信元NATが使用されている場合)、セッションに設定されたタイムアウト値、その標準タイムアウト、セッションの開始時間とセッションのアクティブ時間、フローの方向、送信元アドレスとポート、宛先アドレスとポートが含まれます。 IPプロトコルとセッションに使用されるインターフェイスです
例:
このトラフィックを許可したポリシー名はデフォルトで許可されています。
最大タイムアウトおよび現在のタイムアウト値。
セッション タイプ。
セッションの送信元インターフェイスと宛先インターフェイス
ネクストホップ ゲートウェイ IP アドレス
AppQoS ルール セットの詳細。
コマンドの出力フィールドの詳細については、「 サービス ssl セッションを表示する 」を参照してください。
特定の SSL セッション詳細の表示
目的
特定のSSLセッションに関する情報を表示します。
アクション
コマンドを show services ssl session 56 使用します。
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
Session ID : 56
Connection Type : PROXY
SSL Profile : SSL_PROFILE
Resumed Session : No
One-crypto : Disabled
Async-crypto : Enabled
Renegotiation count : 0
Server Certificate Subject Name : /C=IN/ST=KA/L=BNG/O=JN/OU=XYZ/CN=server/emailAddress=ser
Server Cert verification status : OK
CRL check : Enabled
Action : Allow
SSL_T Details :
Key size : 2048
cipher : ECDHE-RSA-AES256-GCM-SHA384
TLS version : 1.2
SSL_I Details :
Key size : 2048
Cipher : ECDHE-RSA-AES256-GCM-SHA384
TLS version : 1.2
意味
このコマンドを使用すると、特定のSSLセッションに関する詳細情報を取得できます。例:
セッションに使用するセッションID、接続タイプ、SSLプロファイル。
サーバー証明書の件名と検証ステータス。
状態とアクションをチェックする(SL)
SSL 開始および終了の詳細。
このセッションの送信元インターフェイスと宛先インターフェイス。
コマンドの出力フィールドの詳細については、 セキュリティー フロー セッション ssl を示す を参照してください。
SSL証明書の表示
目的
デバイスで使用可能なデジタル証明書を表示します。
アクション
動作モードから、 コマンドを show services ssl certificate all 使用します。
user@host > show services ssl certificate all
Lsys Name : root-logical-system
PIC:fwdd0 fpc[0] pic[0] ------
CertId
-----------------------------
ssl-inspect-ca
ssl-cert-4k意味
デバイスでアクティブなすべての SSL 証明書のリストを表示します。SSL セッションでは、これらの証明書を使用して、クライアントとサーバー間のセキュアな通信を確立します。
コマンドの出力フィールドの詳細については、「 サービス ssl 証明書を表示する 」を参照してください。
SSL証明書情報の表示
目的
SSL証明書の概要を表示します。
アクション
動作モードから、 コマンドを show services ssl certificate brief certificate-id certificate-identifier 使用します。次のサンプルは、認証証明書とローカル証明書CA出力を示しています。
user@host > show services ssl certificate brief certificate-id trusted-ca
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
CertID : trusted-ca
Certificate Type : CA-CERT
Issuer : /C=IN/ST=KA/L=BNG/O=XYZ/OU=ABC/CN=5.0.0.1/emailAddress=newca@test.com
Subject : /C=IN/ST=KA/L=BNG/O=XYZ/OU=ABC/CN=5.0.0.1/emailAddress=newca@test.com
Public Key algorithm : rsaEncryptionuser@host> show services ssl certificate brief certificate-id ssl-inspect-ca
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
CertID : ssl-inspect-ca
Certificate Type : LOCAL-CERT
Issuer : /DC=dc/CN=xyz.com/OU=IT/O=abc/L=bng/ST=KA/C=IN
Subject : /DC=dc/CN=xyz.com/OU=IT/O=abc/L=bng/ST=KAC=IN
Validity :
Not before : Mon 02/18/2019 07:30:37 AM
Not after : Sat 02/17/2024 07:30:37 AM
Public Key algorithm : rsaEncryption
意味
証明書の詳細(証明書 ID、タイプ、証明書の発行者、使用した暗号化アルゴリズムなど)を表示します。この type フィールドには、証明書のタイプ(証明書CA-CERT または LOCAL-CERT)が表示されます。CA証明書は信頼できる認定証明書によって発行認証機関、LOCAL-CERT は自己署名証明書です。
コマンドの出力は、証明書のタイプによって異なる点に注意してください。
コマンドの出力フィールドの詳細については、「 サービス ssl 証明書を表示する 」を参照してください。
SSL 証明書の詳細を表示
目的
SSL証明書の詳細情報を表示します。
アクション
動作モードから、 コマンドを show services ssl certificate detail certificate-identifier 使用します。
user@host > show services ssl certificate detail certificate-id ssl-inspect-ca
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
CertID : ssl-inspect-ca
Certificate Type : LOCAL-CERT
cert modify time : Mon 02/18/2019 07:30:37 AM
key modify time : Mon 02/18/2019 07:30:23 AM
certificate version : 3
serial number : 72 a4 a8 12 0e a0 da 5f ee 27 47 d8 19 7c 76 b5
Issuer : /DC=dc/CN=xyz.com/OU=IT/O=xyz/L=blr/ST=KA/C=IN
Subject : /DC=dc/CN=xyz.com/OU=IT/O=xyz/L=blr/ST=KA/C=IN
Validity :
Not before : Mon 02/18/2019 07:30:37 AM
Not after : Sat 02/17/2024 07:30:37 AM
Public Key algorithm : rsaEncryption
Signature Algorithm : sha256WithRSAEncryption
user@host > show services ssl certificate detail certificate-id test
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
CertID : test
Certificate Type : CA-CERT
cert modify time : Mon 09/02/2019 09:47:48 PM
certificate version : 1
serial number : 21 a8 d6 00 eb 24 1f 78 9a e5 0e ec 6a 39 ce 65 66 42 8c 0a
Issuer : /C=IN/ST=KA/L=BLR/O=XYZ/OU=ABC/CN=5.0.0.1/emailAddress=newca@test.com
Subject : /C=IN/ST=KA/L=BLR/O=XYZ/OU=ABC/CN=5.0.0.1/emailAddress=newca@test.com
Public Key algorithm : rsaEncryption
Signature Algorithm : sha256WithRSAEncryption
CRL :
present : no
check : enabled
download-failed : true
check-on-download-fail : enabled
意味
証明書 ID、タイプ、最後に修正された日付、バージョン、シリアル番号、発行者、件名、有効性、暗号化アルゴリズムなどの証明書の詳細が表示されます。
例:
証明書のタイプ。この
typeフィールドには、証明書のタイプ(つまり、 CA-CERT または LOCAL-CERT)が表示されます。CA証明書は信頼できる認定証明書によって発行認証機関、LOCAL-CERT は自己署名証明書です。認定書の件名と発行者。
証明書の有効期限日および日付。
使用された公開鍵アルゴリズム。
証明書に署名する認証機関データ サーバーが使用するアルゴリズム。
リストに関連した更新(CA証明書のみ)
コマンドの出力フィールドの詳細については、「 サービス ssl 証明書を表示する 」を参照してください。
SSL プロキシー カウンターすべて
目的
SSLプロキシ セッションのすべての統計カウンターを表示します。
アクション
動作モードから、 コマンドを show services ssl proxy counters all 使用します。
user@host > show services ssl proxy counters all
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
session create failed 0
non SSL sessions recieved 0
Memory failures 0
session dropped 0
sessions matched 0
sessions created 0
sessions destroyed 0
sessions ignored 0
sessions ignored : backup only 0
sessions whitelisted : IP based 0
sessions whitelisted : url based 0
crl : data added 0
crl : certificate revoked 0
crl : no crl info present 0
crl : no CA certificate 0
SSL sessions 0
SMTP over STARTTLS 0
IMAP over STARTTLS 0
POP3 over STARTTLS 0
SMTP sessions 0
IMAP sessions 0
POP3 sessions 0
Server not supporting STARTTLS 0
Client not supporting STARTTLS 0
Unified policy : default profile hit 0
Unified policy : no default profile 0
意味
この出力には、SSLプロキシ セッションに関するカウンターの詳細が表示されます。これらのカウンターは通常、セッションの一致、セッションの作成などのアクティビティがあるごとに増加します。
例:
作成、一致、無視、または破棄されたセッション数。
IP アドレスと URL カテゴリーに基づいてリストされるセッション数。
セッション数は、新規更新の取り消し、認証が取り消された、利用可能なCAなど、権限付与に関連した情報に基づいた数です。
統合ポリシー内のデフォルト SSL プロキシー プロファイルに一致するセッション数。
デフォルトの SSL プロキシー プロファイルが存在しないので、破棄されたセッション数。
コマンドの出力フィールドの詳細については、「 サービス ssl プロキシ カウンター を表示する 」を参照してください。
SSLプロキシー カウンター情報
目的
セッションに関する情報を提供する SSLプロキシ セッションの統計カウンターを表示します。
アクション
動作モードから、 コマンドを show services ssl proxy counters info 使用します。
user@host > show services ssl proxy counters info
Lsys Name : root-logical-system
PIC:fpc0 ------
sessions matched 0
sessions created 0
sessions destroyed 0
sessions ignored 0
sessions ignored : backup only 0
sessions whitelisted : IP based 0
sessions whitelisted : url based 0
crl : data added 1
crl : certificate revoked 0
crl : no crl info present 0
crl : no CA certificate 0
SSL sessions 0
SMTP over STARTTLS 0
IMAP over STARTTLS 0
POP3 over STARTTLS 0
SMTP sessions 0
IMAP sessions 0
POP3 sessions 0
Server not supporting STARTTLS 0
Client not supporting STARTTLS 0
Unified policy : default profile hit 0
Unified policy : no default profile 0 意味
この出力には、カウンターに関連する SSL プロキシー セッションの詳細が表示されます。これらのカウンターは通常、セッションの一致、セッションの作成などのアクティビティがあるごとに増加します。
例:
作成、一致、無視、または破棄されたセッション数。
許可されるセッション数。
セッション数は、新規更新の完了、証明書の取り消し、利用可能なCAなど、多くの情報にCAされます。
統合ポリシー内のデフォルト SSL プロキシー プロファイルに一致するセッション数。
デフォルトの SSL プロキシー プロファイルが存在しないので、破棄されたセッション数。
コマンドの出力フィールドの詳細については、「 サービス ssl プロキシ カウンター を表示する 」を参照してください。
SSLプロキシー カウンター エラー
目的
SSLプロキシ セッションで発生したエラーの統計カウンターを表示します。
アクション
動作モードから、 コマンドを show services ssl proxy counters errors 使用します。
user@host > show services ssl proxy counters errors
Lsys Name : root-logical-system
PIC:fpc0 ------
Session create failed 0
non SSL sessions received 0
memory failures 0
session dropped 7 意味
この出力には、SSLプロキシ セッションで発生したエラーのカウンターの詳細が表示されます。例:
障害が発生したセッション数。
システムで受信した非SSLセッション数。
破棄されたセッション数。
コマンドの出力フィールドの詳細については、「 サービス ssl プロキシ カウンター を表示する 」を参照してください。
SSL プロキシー プロファイルの詳細の表示
目的
SSLプロキシ プロファイルの情報を表示します。
アクション
動作モードから、 コマンドを show services ssl proxy profile profile-name 使用します。
user@host > show services ssl proxy profile profile-name
Lsys Name : root-logical-system
PIC:fwdd0 fpc[0] pic[0] ------
Profile: ssl-proxy
enable-tracing: false
root-ca expired: false
allow non-ssl session: true
ssl-termination-id: 65537
ssl-initiation-id: 65537
Number of whitelist entries: 0 意味
コマンドの出力には、SSL プロキシ プロファイルの詳細が表示されます。例:
許可リストに入るセッション数。
非 SSL セッションが許可されるかどうか。
ルート証明書がアクティブか期限切れかを示します。
コマンドの出力フィールドの詳細については、「 サービス ssl proxy プロファイル を表示する 」を参照してください。
SSL プロキシ プロファイルの表示
目的
デバイスに設定なすべてのSSLプロキシ プロファイルを表示します。
アクション
動作モードから、 コマンドを show services ssl proxy profile all 使用します。
user@host > show services ssl proxy profile all
Lsys Name : root-logical-system
PIC:fwdd0 fpc[0] pic[0] ------
ID Name
10 p1
11 p2
意味
出力には、デバイスで使用可能な SSL プロキシ プロファイルのリストが表示されます。
コマンドの出力フィールドの詳細については、「 サービス ssl プロキシ プロファイル を表示する 」を参照してください。
SSLプロキシー セッション キャッシュ統計情報の表示
目的
SSLプロキシ セッション キャッシュのデータを表示します。
アクション
動作モードから、 コマンドを show services ssl proxy session-cache statistics 使用します。
user@host > show services ssl proxy session-cache statistics
Lsys Name : root-logical-system
PIC: fpc0 fpc[0] pic[0]------------
Session cache hit : 0
Session cache miss : 0
Session cache full : 0
意味
コマンド出力には SSL プロキシ セッション キャッシュ統計情報が表示されます。SSLセッションに関連する情報がキャッシュに見つかった回数、SSLセッションに関連する情報がキャッシュに欠落している回数、セッションキャッシュの制限に達した回数などの詳細を確認できます。
コマンドの出力フィールドの詳細については、「 サービス ssl プロキシー セッション キャッシュ統計情報 を表示する 」を参照してください。
SSLプロキシー セッション キャッシュの概要を表示
目的
SSLプロキシセッションキャッシュに保存されているエントリーの簡単な情報を表示します。
アクション
動作モードから、 コマンドを show services ssl proxy session-cache entries summary 使用します。
user@host > show services ssl proxy session-cache entries summary
Lsys Name : root-logical-system
PIC:fwdd0 fpc[0] pic[0] ------
Hash Entry 1
Status: ACTIVE, Time to expire 294 seconds
Session Id Length: 32
Session Id: 1b 2a 9f 5f d8 6e d2 cd 6b b8 89 e8 88 07 75 80 32 c2 54 5a c7 9b 12 a2 e6 5c f0 6d 85 c5 40 4b
Dst IP: 5.0.0.1, Dst Port: 20753
SSL-T Profile Id: 2, SSL-I Profile Id: 2 意味
コマンド出力には、キャッシュに保存されているセッション情報、セッション ステータス、セッション ID、セッション ID の長さ、宛先 IP アドレスとポートの詳細、SSL 開始プロファイルおよび SSL 終端プロファイル ID などの SSL プロキシー セッション キャッシュ エントリーの詳細が表示されます。
コマンドの出力フィールドの詳細については、「 サービス ssl プロキシー セッション キャッシュ エントリー を表示する 」を参照してください。
SSL プロキシー セッション キャッシュの詳細を表示
目的
SSLプロキシセッションキャッシュに格納されているエントリーの詳細情報を表示します。
アクション
動作モードから、 コマンドを show services ssl proxy session-cache entries detail 使用します。
user@host> show services ssl proxy session-cache entries detail
Lsys Name : root-logical-system
PIC: fpc0 fpc[0] pic[0
Hash Entry: 1
Status: ACTIVE, Time to expire 294 seconds
Session Id Length: 32
Session Id: c1 6e 88 65 43 9f 57 2f 0f 06 f7 4b 03 c5 38 58 74 b4 4f 43 66 9a 6f c7 a6 2a ae 22 ab f8 b4 ce
Dst IP: 5.0.0.1, Dst Port: 4433
SSL-T Profile Id: 2, SSL-I Profile Id: 2
Session Info:
Interdicted cert type [0x0]: CA issued, Authentication failed
Server cert verification result: unable to get local issuer certificate [0x14]
Server name extn len: 0, name: None
Server cert chain hash: b5 3d cd cb ca 35 81 5a db 6f 83 ab 5e a0 19 73
SSL-TERM session:
SSL ver: 0x303
Compression Method: 0
Cipher Id: 0x3000004
Master Key Length: 48
SSL-INIT session:
SSL ver: 0x303
Compression Method: 0
Cipher Id: 0x3000004
Master Key Length: 48
Hash Entry:2
Status: EXPIRED
Session Id Length: 32
Session Id: 1b 2a 9f 5f d8 6e d2 cd 6b b8 89 e8 88 07 75 80 32 c2 54 5a c7 9b 12 a2 e6 5c f0 6d 85 c5 40 4b
Dst IP: 5.0.0.1, Dst Port: 4433,
SSL-T Profile Id: 2, SSL-I Profile Id: 2
Session Info:
-------------
Interdicted cert type [0x0]: CA issued, Authentication failed
Server cert verification result: unable to get local issuer certificate [0x14]
Server name extn len: 0, name: None
Server cert chain hash: b5 3d cd cb ca 35 81 5a db 6f 83 ab 5e a0 19 73
SSL-TERM session:
----------------
SSL ver: 0x303
Compression Method: 0
Cipher Id: 0x3000004
Master Key Length: 48
SSL-INIT session:
----------------
SSL ver: 0x303
Compression Method: 0
Cipher Id: 0x3000004
Master Key Length: 48
Stale entry in cache: 1 意味
コマンド出力には、キャッシュされた SSL プロキシ セッション エントリーの詳細が表示されます。例:
有効期限を持つキャッシュ エントリのステータス。キャッシュ エントリーは短い間隔でのみ有効だからです。
セッションID、セッションIDの長さ。
宛先 IP アドレスと宛先ポートの詳細。
SSL 開始および SSL 終端セッションの詳細
サーバー証明書検証、証明書の詳細
コマンドの出力フィールドの詳細については、「 サービス ssl プロキシ セッション キャッシュ エントリー を表示する 」を参照してください。
SSLプロキシ証明書キャッシュエントリ統計情報を表示
目的
SSLプロキシ証明書キャッシュのデータを表示します。
アクション
動作モードから、 コマンドを show services ssl proxy certificate–cache statistics 使用します。
user@host > show services ssl proxy certificate–cache statistics
Lsys Name : root-logical-system
PIC:fwdd0 fpc[0] pic[0] ------
cert cache hit 0
cert cache miss 0
cert cache full 意味
コマンド出力は、キャッシュで一致が使用可能な回数、キャッシュにエントリーが見つからなかった回数、キャッシュが満たされた回数など、SSLプロキシ証明書キャッシュの統計情報を表示します。
コマンドの出力フィールドの詳細については、「 サービス ssl プロキシ証明書 - キャッシュ統計情報 を表示 する 」を参照してください。
SSLプロキシー証明書キャッシュエントリーの概要を表示
目的
SSLプロキシ証明書キャッシュに保存されているエントリーの簡単な情報を表示します。
アクション
動作モードから、 コマンドを show services ssl proxy certificate-cache entries summary 使用します。
user@host > show services ssl proxy certificate-cache entries summary
Lsys Name : root-logical-system
PIC:fwdd0 fpc[0] pic[0] ------
Cache Entries : 1
Serial number : 0x12345678
SSL-I Profile Id: 1
Num of CRL updates: 0意味
コマンド出力には、キャッシュ エントリー数、シリアル番号、プロファイルID、およびLDL更新数などの証明書キャッシュ統計情報が表示されます。
コマンドの出力フィールドの詳細については、「 サービス ssl プロキシ証明書キャッシュ エントリーを表示する 」を参照してください。
SSL プロキシ証明書キャッシュ エントリの詳細を表示
目的
SSLプロキシ証明書キャッシュに格納されているエントリーの詳細情報を表示します。
アクション
動作モードから、 コマンドを show services ssl proxy certificate-cache entries detail 使用します。
user@host > show services ssl proxy certificate-cache entries detail
Lsys Name : root-logical-system
PIC:fwdd0 fpc[0] pic[0] ------
Cache entrie : 1
Serial number : 0x12345678
SSL-I Profile Id: 1
Num of CRL updates: 0
Status: Active: Time to expire 570 seconds
Cert Info:
-------------
Interdicted cert type [0x0]: CA issued, Authentication failed
Server cert verification result: unable to get local issuer certificate [0x14]
Cert reference count: 2
Subject: /C=IN/ST=KA/O=XYZ Inc/CN=ABC Inc Root CA/emailAddress=newca@test.com
Issuer: /CN=SSL-PROXY:DUMMY_CERT:GENERATED DUE TO SRVR AUTH FAILURE 意味
このコマンドを使用すると、キャッシュされた SSL プロキシ証明書エントリーの詳細情報を取得できます。例:
証明書キャッシュに存在するエントリー数。
チェックされた証明書が証明書キャッシュに追加された回数(何度でも)を指定します。
キャッシュされた依存証明書とサーバー証明書検証の結果。
受け取った証明書の件名と発行者。
コマンドの出力フィールドの詳細については、「 サービス ssl プロキシ証明書キャッシュ エントリーを表示する 」を参照してください。
SSL プロキシ ステータスの表示
目的
SSLプロキシ セッションのステータスを表示します。
アクション
動作モードから、 コマンドを show services ssl proxy status 使用します。
user@host > show services ssl proxy status
PIC:fwdd0 fpc[0] pic[0] ------
One-Crypto : Enable
Async Crypto : disable
Proxy-activation : Only if interested svcs configured
Local Logging : disable
SSLFP-PKID Link : UP
Certificate cache : -
Certificate Cache activated : yes
Invalidate certificate cache on CRL update : Disabled
Max cert cache nodes : 4000
Cert cache node in use : 0
Session cache : -
Session cache activated : Activated
Max session cache node : 19660
Session cache node in use : 0
意味
コマンドは、SSL プロキシの全体的なステータスを表示します。例:
暗号化ステータス、プロキシアクティベーションステータス。
証明書キャッシュのアクティブ化、高信頼設定、証明書キャッシュサイズ、現在使用されている証明書キャッシュの証明書数などの証明書キャッシュの詳細。
セッション キャッシュのアクティブ化かどうか、セッション キャッシュのサイズ、現在使用されているセッション キャッシュのセッション数などのセッション キャッシュの詳細。
コマンドの出力フィールドの詳細については、「 サービス ssl プロキシ ステータスを表示する 」を参照してください。
SSL 終端カウンターの詳細を表示
目的
SSL 終端セッションの統計カウンターの詳細を表示します。
アクション
動作モードから、 コマンドを show services ssl termination counters all 使用します。
user@host > show services ssl termination counters all
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
Memory errors 0
Handshake errors 0
Cert Cache errors 0
Server Protection errors 0
Proxy errors 0
Crypto errors 0
Certificate errors 0
One-Crypto errors 0
Async-Crypto errors 0
Mirror errors 0
handshakes started 0
handshakes completed 0
active sessions 0
Interdicted cert generated 0
proxy: sessions created 0
proxy: sessions active 0
proxy: sessions ignored 0
proxy: renegotiation ignored 0
proxy: session resumption 0
proxy: secure renegotiation 0
proxy: insecure renegotiation 0
proxy: multiple renegotiation 0
proxy: reneg after resumption 0
init: passthrough requests 0
init: start requests 0
proxy: ECDSA based srvr auth 0
proxy: RSA based srvr auth 0
意味
このコマンドを使用すると、SSL終端カウンターに関する有用な情報を得できます。例:
メモリ、ハンドシェイク、証明書、サーバー保護、プロキシ、暗号化に関連するエラー数
セッション数が、ハンドシェイクの開始と完了したハンドシェイクの開始でした。
アクティブなセッション数。
作成されたセッション、アクティブなセッション、無視されたセッション、再ネゴシエーションされたセッション、異なる認証方法を使用するセッションなどの SSL プロキシー セッション数。
コマンドの出力フィールドの詳細については、「 サービス ssl 終端カウンター を示す 」を参照してください。
SSL終端カウンターエラーの表示
目的
SSL終端セッションで発生したエラーの統計カウンターを表示します。
アクション
動作モードから、 コマンドを show services ssl termination counters error 使用します。
user@host > show services ssl termination counters error
Lsys Name : root-logical-system
PIC:fpc0 ------
Memory errors 0
Handshake errors 0
Cert Cache errors 0
Server Protection errors 0
Proxy errors 0
Crypto errors 0
Certificate errors 0
One-Crypto errors 0
Async-Crypto errors 0
Mirror errors 0意味
コマンドの出力には、メモリ、ハンドシェイク、証明書、サーバー保護、プロキシと暗号化、SSL 暗号化解除ミラーリング機能に関連するエラーの数が表示されます。
コマンドの出力フィールドの詳細については、「 サービス ssl 終端カウンター を示す 」を参照してください。
SSL 終端カウンター ハンドシェイクの表示
目的
SSL終端ハンドシェイクの統計カウンターを表示します。
アクション
動作モードから、 コマンドを show services ssl termination counters handshake 使用します。
user@host > show services ssl termination counters handshake
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
handshakes started 0
handshakes completed 0
active sessions 0
Interdicted cert generated 0
proxy: sessions created 0
proxy: sessions active 0
proxy: sessions ignored 0
proxy: renegotiation ignored 0
proxy: session resumption 0
proxy: secure renegotiation 0
proxy: insecure renegotiation 0
proxy: multiple renegotiation 0
proxy: reneg after resumption 0
init: passthrough requests 0
init: start requests 0
proxy: ECDSA based srvr auth 0
proxy: RSA based srvr auth 0意味
このコマンドを使用すると、SSL終端カウンターに関する有用な情報を得できます。例:
セッション数が、ハンドシェイクの開始と完了したハンドシェイクの開始でした。
アクティブなセッション数
作成されたセッション、アクティブなセッション、無視されたセッション、再ネゴシエーションされたセッション、異なる認証方法を使用するセッションなどの SSL プロキシー セッション数。
コマンドの出力フィールドの詳細については、「 サービス ssl 終端カウンター を示す 」を参照してください。
SSL終端プロファイルの表示
目的
デバイスで使用可能なすべてのSSL終端プロファイルを表示します。
アクション
動作モードから、 コマンドを show services ssl termination profile all 使用します。
user@host > show services ssl termination profile all
Lsys Name : root-logical-system
PIC:fwdd0 fpc[0] pic[0] ------
ID Name
65536 p1_65536_proxy_t
65537 p2_65537_proxy_t
意味
コマンドの出力には、デバイスで使用可能なすべてのSSL終端プロファイルのリストが表示されます。
コマンドの出力フィールドの詳細については、「 サービス ssl 終端プロファイル を表示する 」を参照してください。
SSL終端プロファイルのサマリの表示
目的
SSL終端プロファイルに関する簡単な情報を表示します。
アクション
動作モードから、 コマンドを show services ssl termination profile brief profile-name 使用します。
user@host > show services ssl termination profile brief profile-name
Lsys Name : root-logical-system
PIC: fwdd0 fpc[0] pic[0] ----------
Profile: ssl-termination
allow non-ssl session: true
preferred-ciphers: medium
Num of url categories configured: NIL
Number of whitelist entries: 0 意味
SSL 終端プロファイルの詳細を表示します。
このコマンドを使用すると、SSL開始プロファイルに関する有用な情報を得できます。例:
ルート証明書がアクティブか期限切れかを示します。
キー強度を持つ SSL 暗号を推奨します。
非 SSL セッションが許可されるかどうか。
設定されている URL カテゴリーの数。
許可リストされているセッション数。
コマンドの出力フィールドの詳細については、「 サービス ssl 終端プロファイル を表示する 」を参照してください。
SSL 終端プロファイルの詳細を表示
目的
SSL終端プロファイルに関する詳細情報を表示します。
アクション
動作モードから、 コマンドを show services ssl termination profile detail profile-name 使用します。
user@host > show services ssl termination profile detail profile-name
Lsys Name : root-logical-system
PIC: fwdd0 fpc[0] pic[0] ----------
Profile : p1_65536_proxy_t
allow non-ssl session : true
preferred-ciphers : medium
Num of url categories configured : 0
Protocol version : all
Client Authentication : notset
Server Authentication : Required
Crypto Mode : hw-sync
Session Resumption : Enabled
CRL check : Enabled
Certficate RSA : p_5
Renegotiation : only secure allowed
Custom ciphers : 0
Server cert : 0
Decrypt Mirror : Disabled
Trusted CA : 0
handshakes started 0
handshakes completed 0
active sessions 0
total handshake errors 0
Data Errors 0
session resumption 0
secure renegotiation 0
insecure renegotiation 0
multiple renegotiation 0
reneg after resumption 0
no_reneg alert by peer 0
drop on reneg 0
意味
このコマンドを使用すると、SSL終端プロファイルに関する有用な情報を得できます。例:
プロファイル名。
非 SSL セッションが許可されるかどうか。
推奨される暗号のカテゴリー。
設定されている URL カテゴリーの数。
プロトコル バージョン
クライアントとサーバーの認証、証明書の取り消しアクション、セッション再送信、セッション再ネゴシエーションなど、さまざまな機能のステータス。
信頼できるCA暗号とカスタム暗号の詳細。
SSL 暗号化解除ミラー ステータス。
プロファイルの統計情報またはカウンターごとのSSLターミネーション。
コマンドの出力フィールドの詳細については、「 サービス ssl 終端プロファイル を表示する 」を参照してください。
SSL 開始カウンターの詳細を表示
目的
SSL開始セッションの統計カウンターを表示します。
アクション
動作モードから、 コマンドを show services ssl initiation counters all 使用します。
user@host > show services ssl initiation counters all
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
Memory errors 0
Handshake errors 0
Cert Cache errors 0
Server Protection errors 0
Proxy errors 0
Crypto errors 0
Certificate errors 0
One-Crypto errors 0
Async-Crypto errors 0
Mirror errors 0
handshakes started 0
handshakes completed 0
active sessions 0
Interdicted cert generated 0
proxy: sessions created 0
proxy: sessions active 0
proxy: sessions ignored 0
proxy: renegotiation ignored 0
proxy: session resumption 0
proxy: secure renegotiation 0
proxy: insecure renegotiation 0
proxy: multiple renegotiation 0
proxy: reneg after resumption 0
init: passthrough requests 0
init: start requests 0
proxy: ECDSA based srvr auth 0
proxy: RSA based srvr auth 0
意味
このコマンドを使用すると、SSL開始カウンターに関する有用な情報を得できます。例:
メモリ、ハンドシェイク、証明書、サーバー保護、プロキシ、暗号化に関連するエラー数。
セッション数によってハンドシェイクが開始され、ハンドシェイクが完了しました。
アクティブなセッション数。
作成されたセッション、アクティブなセッション、無視されたセッション、再ネゴシエーションされたセッション、異なる認証方法を使用するセッションなどの SSL プロキシー セッション数。
コマンドの出力フィールドの詳細については、 サービス ssl 開始カウンター を示します。 を参照してください。
SSL 開始カウンター ハンドシェイクを表示します。
目的
SSL開始ハンドシェイクの統計カウンターを表示します。
アクション
動作モードから、 コマンドを show services ssl initiation counters handshake 使用します。
user@host > show services ssl initiation counters handshake
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
handshakes started 0
handshakes completed 0
active sessions 0
Interdicted cert generated 0
proxy: sessions created 0
proxy: sessions active 0
proxy: sessions ignored 0
proxy: renegotiation ignored 0
proxy: session resumption 0
proxy: secure renegotiation 0
proxy: insecure renegotiation 0
proxy: multiple renegotiation 0
proxy: reneg after resumption 0
init: passthrough requests 0
init: start requests 0
proxy: ECDSA based srvr auth 0
proxy: RSA based srvr auth 0 意味
このコマンドを使用すると、SSL開始カウンターに関する有用な情報を得できます。例:
セッション数が、ハンドシェイクの開始と完了したハンドシェイクの開始でした。
アクティブなセッション数。
作成されたセッション、アクティブなセッション、無視されたセッション、再ネゴシエーションされたセッション、異なる認証方法を使用するセッションなどの SSL プロキシー セッション数。
コマンドの出力フィールドの詳細については、「 services ssl initiation カウンター を示す 」 を参照してください。
SSL開始カウンター エラーの表示
目的
SSL開始セッションで発生したエラーの統計カウンターを表示します。
アクション
動作モードから、 コマンドを show services ssl initiation counters error 使用します。
user@host > show services ssl initiation counters error
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
Memory errors 0
Handshake errors 0
Cert Cache errors 0
Server Protection errors 0
Proxy errors 0
Crypto errors 0
Certificate errors 0
One-Crypto errors 0
Async-Crypto errors 0
Mirror errors 0意味
コマンドの出力には、メモリ、ハンドシェイク、証明書、サーバー保護、プロキシと暗号化、SSL 暗号化解除ミラーリング機能に関連するエラーの数が表示されます。
コマンドの出力フィールドの詳細については、 サービス ssl 開始カウンター を示します。 を参照してください。
SSL開始プロファイルを表示
目的
デバイスで使用可能なすべてのSSL開始プロファイルを表示します。
アクション
動作モードから、 コマンドを show services ssl initiation profile all 使用します。
user@host > show services ssl initiation profile allLsys Name : root-logical-system PIC: fwdd0 fpc[0] pic[0] ---------- ID Name 65536 SSL_PROFILE_65536_proxy_i
意味
コマンドの出力には、デバイスで使用可能なすべてのSSL開始プロファイルのリストが表示されます。
コマンドの出力フィールドの詳細については、「 サービス ssl 開始プロファイル を表示する 」を参照してください。
SSL開始プロファイルの概要を表示
目的
SSL開始プロファイルのサマリを表示します。
アクション
動作モードから、 コマンドを show services ssl initiation profile brief profile-name 使用します。
user@host > show services ssl initiation profile brief profile-name
Lsys Name : root-logical-system
PIC: fpc0 fpc[0] pic[0] ----------
Profile : SSL_PROFILE_65536_proxy_i
allow non-ssl session : true
preferred-ciphers : medium
Num of url categories configured : 0
意味
非 SSL セッションの許可回数、優先暗号、設定されている URL カテゴリー数など、SSL 開始プロファイルの詳細(プロファイル名など)を表示します。
コマンドの出力フィールドの詳細については、「 サービス ssl 開始プロファイル を表示する 」を参照してください。
SSL 開始プロファイルの詳細を表示
目的
SSL開始プロファイルの詳細情報を表示します。
アクション
動作モードから、 コマンドを show services ssl initiation profile detail profile-name 使用します。
user@host > show services ssl initiation profile detail profile-name
Lsys Name : root-logical-system
PIC: fpc0 fpc[0] pic[0] ----------
Profile : SSL_PROFILE_65536_proxy_i
allow non-ssl session : true
preferred-ciphers : medium
Num of url categories configured : 0
Protocol version : all
Client Authentication : notset
Server Authentication : Ignore Failure
Crypto Mode : sw
Session Resumption : Enabled
CRL check : Enabled
Certficate RSA : ssl-inspect-ca
Renegotiation : only secure allowed
Custom ciphers : 0
Server cert : 0
Decrypt Mirror : Disabled
Trusted CA : 1
handshakes started 8
handshakes completed 8
active sessions 0
total handshake errors 0
Data Errors 0
session resumption 5
secure renegotiation 0
insecure renegotiation 0
multiple renegotiation 0
reneg after resumption 0
no_reneg alert by peer 0
drop on reneg 0
意味
このコマンドを使用すると、SSL開始プロファイルに関する有用な情報を得できます。例:
非 SSL セッションが許可されるかどうか。
推奨SSL暗号
設定されている URL カテゴリの数。
クライアントとサーバーの認証、証明書の取り消しアクション、セッション再送信、セッション再ネゴシエーションなど、さまざまな機能の状態。
信頼できるCAチェーン証明書の詳細。
SSL 暗号化解除ミラー ステータス
SSL 開始セッション カウンター
コマンドの出力フィールドの詳細については、「 サービス ssl 開始プロファイル を表示する 」を参照してください。
SSL ドロップ ログの詳細を表示
目的
SSLドロップ ログに関する情報を表示します。
アクション
動作モードから、 コマンドを show services ssl droplogs 使用します。
user@host > show services ssl droplogs
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0]-------
===========log mesg for cpu 0
===========log mesg for cpu 1
log mesg is File: ../../../../../../../../../src/junos/jsf/plugin/ssl/jssl_common.c Function: jssl_X509_verify_cert Line: 3767 Message: unable to get local issuer certificate C2S plugin chain : [Plugin junos-jdpi: action: ignore]-> [Plugin junos-tcp-svr-emul: action: none]-> [Plugin junos-ssl-proxy: action: ignore]-> [Plugin junos-ssl-term: action: none]-> [Plugin junos-dpi-stream: action: none]-> [Plugin junos-idp-stream: action: ignore]-> [Plugin junos-ssl-init: action: none]-> [Plugin junos-tcp-clt-emul: action: none] S2C plugin chain: [Plugin junos-jdpi: action: ignore]-> [Plugin junos-tcp-clt-emul: action: none]-> [Plugin junos-ssl-init: action: none]-> [Plugin junos-dpi-stream: action: none]-> [Plugin junos-idp-stream: action: ignore]-> [Plugin junos-ssl-term: action: none]-> [Plugin junos-ssl-proxy: action: ignore]-> [Plugin junos-tcp-svr-emul: action: none] SourceIP:5.0.0.1 DestIP:4.0.0.1 Source Port:40281 Dest Port:443 source interface:ge-0/0/1.0 Destination interface:ge-0/0/0.0 source zone:untrust destination Zone:trust意味
コマンドの出力には、拒否/ドロップされたセッションの詳細が表示されます。コマンド出力を使用して、セッションがドロップされた理由の問題を把握できます。