이 페이지의
SSL 세션의 문제 해결을 위한 운영 명령
CLI에서 운영 명령은 문제 해결에 도움이 되는 정보를 제공합니다. show 명령어로 트래픽 손실과 관련된 통계 카운터 및 지표를 확인 및 분석하고 적절한 시정 조치를 취할 수 있습니다. 이 항목에서는 운영 모드 명령을 사용하여 SSL 관련 문제를 모니터링, 표시 및 검증하기 위한 정보를 다룹니다.
활성 SSL 세션 표시
목적
장비의 모든 활성 SSL 세션에 대한 정보를 표시합니다.
작업
show security flow session ssl 명령을 사용합니다.
user@host >
show security flow session ssl
Output:
Session ID: 1, Policy name: default-permit/5, Timeout: 1746, Valid
In: 4.0.0.1/37369 --> 5.0.0.1/4433;tcp, Conn Tag: 0x0, If: xe-0/0/0.0, Pkts: 6, Bytes: 671,
Out: 5.0.0.1/4433 --> 4.0.0.1/37369;tcp, Conn Tag: 0x0, If: xe-0/0/1.0, Pkts: 7, Bytes: 1635,
의미
출력은 세션 ID, 세션의 타임아웃 값, 플로우 방향, 소스 주소 및 포트, 대상 주소 및 포트, IP 프로토콜 및 세션에 사용되는 인터페이스를 포함한 모든 표준 플로우 정보를 보여줍니다. 예제:
이 트래픽을 허용한 정책 이름은 기본 설정(default-permit)입니다.
타임아웃 가치.
소스 IP와 대상 IP는 각각 소스/대상 포트와 함께 표시됩니다.
세션 유형.
이 세션의 소스 인터페이스와 대상 인터페이스입니다.
명령의 출력 필드에 대한 자세한 내용은 보안 플로우 세션 ssl을 보여 주십시오.
활성 SSL 세션 세부 정보 표시
목적
장비에서 활성 SSL 세션에 대한 세부 정보를 표시합니다.
작업
운영 모드에서 명령을 사용합니다 show security flow session extensive ssl .
user@host >
show security flow session extensive ssl
Output:
Session ID: 1, Status: Normal
Flags: 0x42/0x20000000/0x2/0x10103
Policy name: 1/5
Source NAT pool: Null
Dynamic application: junos:UNKNOWN,
Encryption: Unknown
Application traffic control rule-set: INVALID, Rule: INVALID
Maximum timeout: 1800, Current timeout: 1636
Session State: Valid
Start time: 587131, Duration: 163
In: 4.0.0.1/37369 --> 5.0.0.1/4433;tcp,
Conn Tag: 0x0, Interface: xe-0/0/0.0,
Session token: 0x7, Flag: 0x2621
Route: 0xa0010, Gateway: 4.0.0.1, Tunnel: 0
Port sequence: 0, FIN sequence: 0,
FIN state: 0,
Pkts: 6, Bytes: 671
Out: 5.0.0.1/4433 --> 4.0.0.1/37369;tcp,
Conn Tag: 0x0, Interface: xe-0/0/1.0,
Session token: 0x8, Flag: 0x2620
Route: 0xb0010, Gateway: 5.0.0.1, Tunnel: 0
Port sequence: 0, FIN sequence: 0,
FIN state: 0,
Pkts: 7, Bytes: 1635
Total sessions: 1
의미
명령의 출력은 장치의 모든 활성 세션에 대한 광범위한 정보를 표시합니다.
세션 ID, NAT(Network Address Translation) 소스 풀(소스 NAT를 사용하는 경우), 세션 및 표준 타임아웃에 대한 구성된 타임아웃 값, 세션 시작 시간 및 세션 활성 기간, 플로우 방향, 소스 주소 및 포트, 대상 주소 및 포트, IP 프로토콜과 세션에 사용되는 인터페이스를 지원합니다.
예제:
이 트래픽을 허용한 정책 이름은 기본 설정(default-permit)입니다.
최대 타임아웃 및 현재 타임아웃 값입니다.
세션 유형.
세션의 소스 인터페이스 및 대상 인터페이스
넥트 홉 게이트웨이 IP 주소
AppQoS 규칙 세트 세부 사항.
명령의 출력 필드에 대한 자세한 내용은 show services ssl 세션을 참조하십시오.
특정 SSL 세션 세부 정보 표시
목적
특정 SSL 세션에 대한 정보를 표시합니다.
작업
show services ssl session 56 명령을 사용합니다.
Lsys Name : root-logical-system PIC:fpc0 fpc[0] pic[0] ------ Session ID : 56 Connection Type : PROXY SSL Profile : SSL_PROFILE Resumed Session : No One-crypto : Disabled Async-crypto : Enabled Renegotiation count : 0 Server Certificate Subject Name : /C=IN/ST=KA/L=BNG/O=JN/OU=XYZ/CN=server/emailAddress=ser Server Cert verification status : OK CRL check : Enabled Action : Allow SSL_T Details : Key size : 2048 cipher : ECDHE-RSA-AES256-GCM-SHA384 TLS version : 1.2 SSL_I Details : Key size : 2048 Cipher : ECDHE-RSA-AES256-GCM-SHA384 TLS version : 1.2
의미
이 명령어로 특정 SSL 세션에 대한 세부 정보를 얻을 수 있습니다. 예제:
세션에 사용되는 세션 ID, 연결 유형 및 SSL 프로필입니다.
서버 인증서 subject 이름 및 검증 상태.
CRL은 상태 및 조치를 확인합니다.
SSL 시작 및 종료 세부 정보.
이 세션의 소스 인터페이스와 대상 인터페이스입니다.
명령의 출력 필드에 대한 자세한 내용은 보안 플로우 세션 ssl을 보여 주십시오.
SSL 인증서 표시
목적
디바이스에서 사용할 수 있는 디지털 인증서를 표시합니다.
작업
운영 모드에서 명령을 사용합니다 show services ssl certificate all .
user@host >
show services ssl certificate all
Lsys Name : root-logical-system
PIC:fwdd0 fpc[0] pic[0] ------
CertId
-----------------------------
ssl-inspect-ca
ssl-cert-4k
의미
장비에서 활성 상태인 모든 SSL 인증서 목록을 표시합니다. SSL 세션은 이러한 인증서를 사용하여 클라이언트와 서버 간의 안전한 통신을 구축합니다.
명령의 출력 필드에 대한 자세한 내용은 show services ssl 인증서를 참조하십시오.
SSL 인증서 정보 표시
목적
SSL 인증서에 대한 간략한 정보를 표시합니다.
작업
운영 모드에서 명령을 사용합니다 show services ssl certificate brief certificate-id certificate-identifier . 다음은 CA 인증서 및 로컬 인증서에 대한 명령 출력을 보여 줍니다.
user@host >
show services ssl certificate brief certificate-id trusted-ca
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
CertID : trusted-ca
Certificate Type : CA-CERT
Issuer : /C=IN/ST=KA/L=BNG/O=XYZ/OU=ABC/CN=5.0.0.1/emailAddress=newca@test.com
Subject : /C=IN/ST=KA/L=BNG/O=XYZ/OU=ABC/CN=5.0.0.1/emailAddress=newca@test.com
Public Key algorithm : rsaEncryption
user@host>
show services ssl certificate brief certificate-id ssl-inspect-ca
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
CertID : ssl-inspect-ca
Certificate Type : LOCAL-CERT
Issuer : /DC=dc/CN=xyz.com/OU=IT/O=abc/L=bng/ST=KA/C=IN
Subject : /DC=dc/CN=xyz.com/OU=IT/O=abc/L=bng/ST=KAC=IN
Validity :
Not before : Mon 02/18/2019 07:30:37 AM
Not after : Sat 02/17/2024 07:30:37 AM
Public Key algorithm : rsaEncryption
의미
인증서 ID, 유형, 인증서 발행자 및 사용된 암호화 알고리즘을 포함하여 인증서에 대한 세부 정보를 표시합니다. type
필드는 CA-CERT 또는 LOCAL-CERT와 같은 인증서의 유형을 표시합니다. CA-Cert 인증서는 신뢰할 수 있는 인증 기관에서 발급한 인증 인증서이며 LOCAL-CERT는 자체 서명 인증서입니다.
명령의 출력은 인증서 유형에 따라 달라집니다.
명령의 출력 필드에 대한 자세한 내용은 show services ssl 인증서를 참조하십시오.
SSL 인증서 세부 정보 표시
목적
SSL 인증서에 대한 세부 정보를 표시합니다.
작업
운영 모드에서 명령을 사용합니다 show services ssl certificate detail certificate-identifier .
user@host >
show services ssl certificate detail certificate-id ssl-inspect-ca
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
CertID : ssl-inspect-ca
Certificate Type : LOCAL-CERT
cert modify time : Mon 02/18/2019 07:30:37 AM
key modify time : Mon 02/18/2019 07:30:23 AM
certificate version : 3
serial number : 72 a4 a8 12 0e a0 da 5f ee 27 47 d8 19 7c 76 b5
Issuer : /DC=dc/CN=xyz.com/OU=IT/O=xyz/L=blr/ST=KA/C=IN
Subject : /DC=dc/CN=xyz.com/OU=IT/O=xyz/L=blr/ST=KA/C=IN
Validity :
Not before : Mon 02/18/2019 07:30:37 AM
Not after : Sat 02/17/2024 07:30:37 AM
Public Key algorithm : rsaEncryption
Signature Algorithm : sha256WithRSAEncryption
user@host >
show services ssl certificate detail certificate-id test
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
CertID : test
Certificate Type : CA-CERT
cert modify time : Mon 09/02/2019 09:47:48 PM
certificate version : 1
serial number : 21 a8 d6 00 eb 24 1f 78 9a e5 0e ec 6a 39 ce 65 66 42 8c 0a
Issuer : /C=IN/ST=KA/L=BLR/O=XYZ/OU=ABC/CN=5.0.0.1/emailAddress=newca@test.com
Subject : /C=IN/ST=KA/L=BLR/O=XYZ/OU=ABC/CN=5.0.0.1/emailAddress=newca@test.com
Public Key algorithm : rsaEncryption
Signature Algorithm : sha256WithRSAEncryption
CRL :
present : no
check : enabled
download-failed : true
check-on-download-fail : enabled
의미
인증서 ID, 유형, 마지막으로 수정된 날짜, 버전, 일련 번호, 발행자, subject, 유효성 및 사용된 암호화 알고리즘을 포함하여 인증서에 대한 세부 정보를 표시합니다.
예제:
인증서 유형
type
필드는 CA-CERT 또는 LOCAL-CERT와 같은 인증서의 유형을 표시합니다. CA-Cert 인증서는 신뢰할 수 있는 인증 기관에서 발급한 인증 인증서이며 LOCAL-CERT는 자체 서명 인증서입니다.인증서의 제목 및 발행자.
인증서 유효 기간부터 날짜까지.
사용된 공용 키 알고리즘.
인증서에 서명하기 위해 인증 기관에서 사용하는 알고리즘.
CRL 관련 업데이트(CA 인증서만 해당)
명령의 출력 필드에 대한 자세한 내용은 show services ssl 인증서를 참조하십시오.
SSL 프록시 카운터 모두 지원
목적
SSL 프록시 세션에 대한 모든 통계 카운터를 표시합니다.
작업
운영 모드에서 명령을 사용합니다 show services ssl proxy counters all .
user@host >
show services ssl proxy counters all
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
session create failed 0
non SSL sessions recieved 0
Memory failures 0
session dropped 0
sessions matched 0
sessions created 0
sessions destroyed 0
sessions ignored 0
sessions ignored : backup only 0
sessions whitelisted : IP based 0
sessions whitelisted : url based 0
crl : data added 0
crl : certificate revoked 0
crl : no crl info present 0
crl : no CA certificate 0
SSL sessions 0
SMTP over STARTTLS 0
IMAP over STARTTLS 0
POP3 over STARTTLS 0
SMTP sessions 0
IMAP sessions 0
POP3 sessions 0
Server not supporting STARTTLS 0
Client not supporting STARTTLS 0
Unified policy : default profile hit 0
Unified policy : no default profile 0
의미
출력은 SSL 프록시 세션과 관련된 카운터 세부 정보를 표시합니다. 이러한 카운터는 일치되는 세션, 생성된 세션 등과 같은 일부 활동이 있을 때마다 일반적으로 증가합니다.
예제:
생성, 일치, 무시 또는 폐기된 세션 수
IP 주소 및 URL 범주에 따라 허용되는 세션 수입니다.
세션은 새로운 업데이트 완료 또는 인증서 취소, CRL 존재 없음 또는 CA 인증서가 없는 등 CRL 관련 정보를 기반으로 계산됩니다.
통합 정책에서 기본 SSL 프록시 프로필과 일치하는 세션 수
기본 SSL 프록시 프로필 부재로 인해 세션 수가 중단되었습니다.
명령의 출력 필드에 대한 자세한 내용은 show services ssl 프록시 카운터를 참조하십시오.
SSL 프록시 카운터 정보
목적
SSL 프록시 세션에 대한 통계 카운터를 표시하여 세션에 대한 정보를 제공합니다.
작업
운영 모드에서 명령을 사용합니다 show services ssl proxy counters info .
user@host >
show services ssl proxy counters info
Lsys Name : root-logical-system
PIC:fpc0 ------
sessions matched 0
sessions created 0
sessions destroyed 0
sessions ignored 0
sessions ignored : backup only 0
sessions whitelisted : IP based 0
sessions whitelisted : url based 0
crl : data added 1
crl : certificate revoked 0
crl : no crl info present 0
crl : no CA certificate 0
SSL sessions 0
SMTP over STARTTLS 0
IMAP over STARTTLS 0
POP3 over STARTTLS 0
SMTP sessions 0
IMAP sessions 0
POP3 sessions 0
Server not supporting STARTTLS 0
Client not supporting STARTTLS 0
Unified policy : default profile hit 0
Unified policy : no default profile 0
의미
출력은 SSL 프록시 세션과 관련된 카운터 세부 정보를 표시합니다. 이러한 카운터는 일치되는 세션, 생성된 세션 등과 같은 일부 활동이 있을 때마다 일반적으로 증가합니다.
예제:
생성, 일치, 무시 또는 폐기된 세션 수
허용 목록 세션 수입니다.
세션은 새로운 업데이트 완료, 인증서 취소, CRL 존재 없음 또는 CA 인증서 제출 없는 등 CRL 관련 정보를 기반으로 계산됩니다.
통합 정책에서 기본 SSL 프록시 프로필과 일치하는 세션 수
기본 SSL 프록시 프로필 부재로 인해 세션 수가 중단되었습니다.
명령의 출력 필드에 대한 자세한 내용은 show services ssl 프록시 카운터를 참조하십시오.
SSL 프록시 카운터 오류
목적
SSL 프록시 세션에서 발생하는 오류에 대한 통계 카운터를 표시합니다.
작업
운영 모드에서 명령을 사용합니다 show services ssl proxy counters errors .
user@host >
show services ssl proxy counters errors
Lsys Name : root-logical-system
PIC:fpc0 ------
Session create failed 0
non SSL sessions received 0
memory failures 0
session dropped 7
의미
출력은 SSL 프록시 세션에서 발생한 오류에 대한 카운터 세부 정보를 표시합니다. 예제:
실패한 세션 수입니다.
시스템에서 수신되는 비SL 세션 수
드롭된 세션 수입니다.
명령의 출력 필드에 대한 자세한 내용은 show services ssl 프록시 카운터를 참조하십시오.
SSL 프록시 프로파일 세부 정보 표시
목적
SSL 프록시 프로파일에 대한 정보를 표시합니다.
작업
운영 모드에서 명령을 사용합니다 show services ssl proxy profile profile-name .
user@host >
show services ssl proxy profile profile-name
Lsys Name : root-logical-system
PIC:fwdd0 fpc[0] pic[0] ------
Profile: ssl-proxy
enable-tracing: false
root-ca expired: false
allow non-ssl session: true
ssl-termination-id: 65537
ssl-initiation-id: 65537
Number of whitelist entries: 0
의미
명령의 출력은 SSL 프록시 프로파일의 세부 정보를 표시합니다. 예제:
허용되는 세션 수입니다.
비SL 세션 허용 여부.
루트 증명서가 활성 상태인지 아니면 만료되었는지 여부
명령의 출력 필드에 대한 자세한 내용은 서비스 ssl 프록시 프로필 표시를 참조하십시오.
SSL 프록시 프로파일 표시
목적
장비에 구성된 모든 SSL 프록시 프로파일을 표시합니다.
작업
운영 모드에서 명령을 사용합니다 show services ssl proxy profile all .
user@host >
show services ssl proxy profile all
Lsys Name : root-logical-system
PIC:fwdd0 fpc[0] pic[0] ------
ID Name
10 p1
11 p2
SSL 프록시 세션 캐시 통계 표시
목적
SSL 프록시 세션 캐시에 대한 데이터를 표시합니다.
작업
운영 모드에서 명령을 사용합니다 show services ssl proxy session-cache statistics .
user@host >
show services ssl proxy session-cache statistics
Lsys Name : root-logical-system
PIC: fpc0 fpc[0] pic[0]------------
Session cache hit : 0
Session cache miss : 0
Session cache full : 0
의미
명령 출력은 SSL 프록시 세션 캐시 통계를 표시합니다. SSL 세션과 관련된 정보가 캐시에서 발견된 횟수 또는 캐시에서 SSL 세션과 관련된 정보가 누락된 횟수, 세션 캐시 제한에 도달하는 횟수 등과 같은 세부 정보를 얻을 수 있습니다.
명령의 출력 필드에 대한 자세한 내용은 서비스 ssl 프록시 세션 캐시 통계 표시를 참조하십시오.
SSL 프록시 세션 캐시 요약 표시
목적
SSL 프록시 세션 캐시에 저장된 엔트리에 대한 간략한 정보를 표시합니다.
작업
운영 모드에서 명령을 사용합니다 show services ssl proxy session-cache entries summary .
user@host >
show services ssl proxy session-cache entries summary
Lsys Name : root-logical-system
PIC:fwdd0 fpc[0] pic[0] ------
Hash Entry 1
Status: ACTIVE, Time to expire 294 seconds
Session Id Length: 32
Session Id: 1b 2a 9f 5f d8 6e d2 cd 6b b8 89 e8 88 07 75 80 32 c2 54 5a c7 9b 12 a2 e6 5c f0 6d 85 c5 40 4b
Dst IP: 5.0.0.1, Dst Port: 20753
SSL-T Profile Id: 2, SSL-I Profile Id: 2
의미
명령 출력은 캐시에 저장된 세션 정보, 세션 상태, 세션 ID 및 세션 ID 길이, 대상 IP 주소 및 포트 세부 정보, SSL 시작 및 SSL 종료 프로파일 ID와 같은 SSL 프록시 세션 캐시 엔트리 세부 정보를 표시합니다.
명령의 출력 필드에 대한 자세한 내용은 서비스 ssl 프록시 세션 캐시 엔트리 표시를 참조하십시오.
SSL 프록시 세션 캐시 세부 정보 표시
목적
SSL 프록시 세션 캐시에 저장된 엔트리에 대한 세부 정보를 표시합니다.
작업
운영 모드에서 명령을 사용합니다 show services ssl proxy session-cache entries detail .
user@host>
show services ssl proxy session-cache entries detail
Lsys Name : root-logical-system
PIC: fpc0 fpc[0] pic[0
Hash Entry: 1
Status: ACTIVE, Time to expire 294 seconds
Session Id Length: 32
Session Id: c1 6e 88 65 43 9f 57 2f 0f 06 f7 4b 03 c5 38 58 74 b4 4f 43 66 9a 6f c7 a6 2a ae 22 ab f8 b4 ce
Dst IP: 5.0.0.1, Dst Port: 4433
SSL-T Profile Id: 2, SSL-I Profile Id: 2
Session Info:
Interdicted cert type [0x0]: CA issued, Authentication failed
Server cert verification result: unable to get local issuer certificate [0x14]
Server name extn len: 0, name: None
Server cert chain hash: b5 3d cd cb ca 35 81 5a db 6f 83 ab 5e a0 19 73
SSL-TERM session:
SSL ver: 0x303
Compression Method: 0
Cipher Id: 0x3000004
Master Key Length: 48
SSL-INIT session:
SSL ver: 0x303
Compression Method: 0
Cipher Id: 0x3000004
Master Key Length: 48
Hash Entry:2
Status: EXPIRED
Session Id Length: 32
Session Id: 1b 2a 9f 5f d8 6e d2 cd 6b b8 89 e8 88 07 75 80 32 c2 54 5a c7 9b 12 a2 e6 5c f0 6d 85 c5 40 4b
Dst IP: 5.0.0.1, Dst Port: 4433,
SSL-T Profile Id: 2, SSL-I Profile Id: 2
Session Info:
-------------
Interdicted cert type [0x0]: CA issued, Authentication failed
Server cert verification result: unable to get local issuer certificate [0x14]
Server name extn len: 0, name: None
Server cert chain hash: b5 3d cd cb ca 35 81 5a db 6f 83 ab 5e a0 19 73
SSL-TERM session:
----------------
SSL ver: 0x303
Compression Method: 0
Cipher Id: 0x3000004
Master Key Length: 48
SSL-INIT session:
----------------
SSL ver: 0x303
Compression Method: 0
Cipher Id: 0x3000004
Master Key Length: 48
Stale entry in cache: 1
의미
명령 출력은 캐시된 SSL 프록시 세션 엔트리 세부 정보를 표시합니다. 예제:
만료 시간이 있는 캐시 항목의 상태. 캐시 항목은 짧은 간격 동안만 유효하기 때문입니다.
세션 ID 및 세션 ID의 길이
대상 IP 주소 및 대상 포트 세부 정보.
SSL 시작 및 SSL 종료 세션 세부 정보
서버 인증서 검증, 인증된 인증서 세부 정보.
명령의 출력 필드에 대한 자세한 내용은 서비스 ssl 프록시 세션 캐시 엔트리 표시를 참조하십시오.
SSL Proxy Certificate Cache Entry 통계 표시
목적
SSL 프록시 인증서 캐시에 대한 데이터를 표시합니다.
작업
운영 모드에서 명령을 사용합니다 show services ssl proxy certificate–cache statistics .
user@host >
show services ssl proxy certificate–cache statistics
Lsys Name : root-logical-system
PIC:fwdd0 fpc[0] pic[0] ------
cert cache hit 0
cert cache miss 0
cert cache full
의미
명령 출력은 일치되는 캐시에서 사용 가능한 횟수, 항목이 캐시에서 발견되지 않는 횟수 또는 캐시가 가득 찬 횟수와 같은 SSL 프록시 인증서 캐시 통계를 표시합니다.
명령의 출력 필드에 대한 자세한 내용은 서비스 ssl 프록시 인증서-캐시 통계 표시를 참조하십시오.
SSL Proxy Certificate Cache Entry Summary 표시
목적
SSL 프록시 인증서 캐시에 저장된 엔트리에 대한 간략한 정보를 표시합니다.
작업
운영 모드에서 명령을 사용합니다 show services ssl proxy certificate-cache entries summary .
user@host >
show services ssl proxy certificate-cache entries summary
Lsys Name : root-logical-system
PIC:fwdd0 fpc[0] pic[0] ------
Cache Entries : 1
Serial number : 0x12345678
SSL-I Profile Id: 1
Num of CRL updates: 0
의미
명령 출력은 캐시 엔트리, 일련 번호, 프로필 ID 및 CRL 업데이트의 수와 같은 인증서 캐시 통계를 표시합니다.
명령의 출력 필드에 대한 자세한 내용은 서비스 ssl 프록시 인증서 캐시 항목 표시를 참조하십시오.
SSL Proxy Certificate Cache Entry 세부 정보 표시
목적
SSL 프록시 인증서 캐시에 저장된 엔트리에 대한 세부 정보를 표시합니다.
작업
운영 모드에서 명령을 사용합니다 show services ssl proxy certificate-cache entries detail .
user@host >
show services ssl proxy certificate-cache entries detail
Lsys Name : root-logical-system
PIC:fwdd0 fpc[0] pic[0] ------
Cache entrie : 1
Serial number : 0x12345678
SSL-I Profile Id: 1
Num of CRL updates: 0
Status: Active: Time to expire 570 seconds
Cert Info:
-------------
Interdicted cert type [0x0]: CA issued, Authentication failed
Server cert verification result: unable to get local issuer certificate [0x14]
Cert reference count: 2
Subject: /C=IN/ST=KA/O=XYZ Inc/CN=ABC Inc Root CA/emailAddress=newca@test.com
Issuer: /CN=SSL-PROXY:DUMMY_CERT:GENERATED DUE TO SRVR AUTH FAILURE
의미
이 명령으로 캐시된 SSL 프록시 인증서 항목에 대한 세부 정보를 얻을 수 있습니다. 예제:
인증서 캐시에 표시되는 항목 수입니다.
인증된 인증서가 인증서 캐시에 추가될 때까지 CRL 업데이트가 수행된 횟수입니다.
캐시된 인증 및 서버 인증서 검증 결과.
인증된 인증서의 제목 및 발행자.
명령의 출력 필드에 대한 자세한 내용은 서비스 ssl 프록시 인증서 캐시 항목 표시를 참조하십시오.
SSL 프록시 상태 표시
목적
SSL 프록시 세션의 상태를 표시합니다.
작업
운영 모드에서 명령을 사용합니다 show services ssl proxy status .
user@host >
show services ssl proxy status
PIC:fwdd0 fpc[0] pic[0] ------
One-Crypto : Enable
Async Crypto : disable
Proxy-activation : Only if interested svcs configured
Local Logging : disable
SSLFP-PKID Link : UP
Certificate cache : -
Certificate Cache activated : yes
Invalidate certificate cache on CRL update : Disabled
Max cert cache nodes : 4000
Cert cache node in use : 0
Session cache : -
Session cache activated : Activated
Max session cache node : 19660
Session cache node in use : 0
의미
이 명령은 SSL 프록시의 전반적인 상태를 표시합니다. 예제:
암호화 상태, 프록시 활성화 상태.
인증서 캐시 활성화 여부, CRL 구성, 인증서 캐시 크기, 현재 사용되는 인증서 캐시의 인증서 수와 같은 인증서 캐시 세부 정보
세션 캐시 활성화 여부, 세션 캐시 크기, 현재 사용되는 세션 캐시의 세션 수와 같은 세션 캐시 세부 정보.
명령의 출력 필드에 대한 자세한 내용은 서비스 ssl 프록시 상태 표시를 참조하십시오.
SSL 종료 카운터 세부 정보 표시
목적
SSL 종료 세션에 대한 통계 카운터 세부 정보를 표시합니다.
작업
운영 모드에서 명령을 사용합니다 show services ssl termination counters all .
user@host >
show services ssl termination counters all
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
Memory errors 0
Handshake errors 0
Cert Cache errors 0
Server Protection errors 0
Proxy errors 0
Crypto errors 0
Certificate errors 0
One-Crypto errors 0
Async-Crypto errors 0
Mirror errors 0
handshakes started 0
handshakes completed 0
active sessions 0
Interdicted cert generated 0
proxy: sessions created 0
proxy: sessions active 0
proxy: sessions ignored 0
proxy: renegotiation ignored 0
proxy: session resumption 0
proxy: secure renegotiation 0
proxy: insecure renegotiation 0
proxy: multiple renegotiation 0
proxy: reneg after resumption 0
init: passthrough requests 0
init: start requests 0
proxy: ECDSA based srvr auth 0
proxy: RSA based srvr auth 0
의미
이 명령을 통해 SSL 종료 카운터에 대한 유용한 정보를 얻을 수 있습니다. 예제:
메모리, 핸드셰이크, 인증서, 서버 보호, 프록시 및 암호화와 관련된 오류 수
핸드셰이크를 시작하고 핸드셰이크를 완료한 세션 수입니다.
활성 세션 수입니다.
생성된 세션, 활성 세션, 무시된 세션, 재검증 세션, 서로 다른 인증 방법을 가진 세션 등과 같은 SSL 프록시 세션 수
명령의 출력 필드에 대한 자세한 내용은 show services ssl 종료 카운터를 참조하십시오.
SSL 종료 카운터 오류 표시
목적
SSL 종료 세션에서 발생하는 오류에 대한 통계 카운터를 표시합니다.
작업
운영 모드에서 명령을 사용합니다 show services ssl termination counters error .
user@host >
show services ssl termination counters error
Lsys Name : root-logical-system
PIC:fpc0 ------
Memory errors 0
Handshake errors 0
Cert Cache errors 0
Server Protection errors 0
Proxy errors 0
Crypto errors 0
Certificate errors 0
One-Crypto errors 0
Async-Crypto errors 0
Mirror errors 0
의미
명령의 출력은 메모리, 핸드셰이크, 인증서, 서버 보호, 프록시 및 암호화, SSL 암호 해독 미러링 기능과 관련된 오류의 수를 표시합니다.
명령의 출력 필드에 대한 자세한 내용은 show services ssl 종료 카운터를 참조하십시오.
SSL 종료 카운터 핸드셰이크 표시
목적
SSL 종료 핸드셰이크에 대한 통계 카운터를 표시합니다.
작업
운영 모드에서 명령을 사용합니다 show services ssl termination counters handshake .
user@host >
show services ssl termination counters handshake
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
handshakes started 0
handshakes completed 0
active sessions 0
Interdicted cert generated 0
proxy: sessions created 0
proxy: sessions active 0
proxy: sessions ignored 0
proxy: renegotiation ignored 0
proxy: session resumption 0
proxy: secure renegotiation 0
proxy: insecure renegotiation 0
proxy: multiple renegotiation 0
proxy: reneg after resumption 0
init: passthrough requests 0
init: start requests 0
proxy: ECDSA based srvr auth 0
proxy: RSA based srvr auth 0
의미
이 명령을 통해 SSL 종료 카운터에 대한 유용한 정보를 얻을 수 있습니다. 예제:
핸드셰이크를 시작하고 핸드셰이크를 완료한 세션 수입니다.
활성 세션 수
생성된 세션, 활성 세션, 무시된 세션, 재검증 세션, 서로 다른 인증 방법을 가진 세션 등과 같은 SSL 프록시 세션 수
명령의 출력 필드에 대한 자세한 내용은 show services ssl 종료 카운터를 참조하십시오.
SSL 종료 프로파일 표시
목적
장비에서 사용 가능한 모든 SSL 종료 프로필을 표시합니다.
작업
운영 모드에서 명령을 사용합니다 show services ssl termination profile all .
user@host >
show services ssl termination profile all
Lsys Name : root-logical-system
PIC:fwdd0 fpc[0] pic[0] ------
ID Name
65536 p1_65536_proxy_t
65537 p2_65537_proxy_t
SSL 종료 프로파일 요약 표시
목적
SSL 종료 프로파일에 대한 간략한 정보를 표시합니다.
작업
운영 모드에서 명령을 사용합니다 show services ssl termination profile brief profile-name .
user@host >
show services ssl termination profile brief profile-name
Lsys Name : root-logical-system
PIC: fwdd0 fpc[0] pic[0] ----------
Profile: ssl-termination
allow non-ssl session: true
preferred-ciphers: medium
Num of url categories configured: NIL
Number of whitelist entries: 0
의미
SSL 종료 프로파일의 세부 정보를 표시합니다.
이 명령을 통해 SSL 시작 프로필에 대한 유용한 정보를 얻을 수 있습니다. 예제:
루트 증명서가 활성 상태인지 아니면 만료되었는지 여부
주요 강점을 갖춘 선호하는 SSL 암호문
비SL 세션 허용 여부.
구성된 URL 범주 수입니다.
허용 목록 세션 수입니다.
명령의 출력 필드에 대한 자세한 내용은 서비스 ssl 종료 프로필 표시를 참조하십시오.
SSL 종료 프로파일 세부 정보 표시
목적
SSL 종료 프로파일에 대한 세부 정보를 표시합니다.
작업
운영 모드에서 명령을 사용합니다 show services ssl termination profile detail profile-name .
user@host >
show services ssl termination profile detail profile-name
Lsys Name : root-logical-system
PIC: fwdd0 fpc[0] pic[0] ----------
Profile : p1_65536_proxy_t
allow non-ssl session : true
preferred-ciphers : medium
Num of url categories configured : 0
Protocol version : all
Client Authentication : notset
Server Authentication : Required
Crypto Mode : hw-sync
Session Resumption : Enabled
CRL check : Enabled
Certficate RSA : p_5
Renegotiation : only secure allowed
Custom ciphers : 0
Server cert : 0
Decrypt Mirror : Disabled
Trusted CA : 0
handshakes started 0
handshakes completed 0
active sessions 0
total handshake errors 0
Data Errors 0
session resumption 0
secure renegotiation 0
insecure renegotiation 0
multiple renegotiation 0
reneg after resumption 0
no_reneg alert by peer 0
drop on reneg 0
의미
이 명령을 통해 SSL 종료 프로파일에 대한 유용한 정보를 얻을 수 있습니다. 예제:
프로필 이름.
비SL 세션 허용 여부.
선호하는 암호 범주입니다.
구성된 URL 범주 수입니다.
프로토콜 버전.
클라이언트 및 서버 인증, 인증서 철회 작업, 세션 재개, 세션 재협상 등과 같은 다양한 기능의 상태.
신뢰할 수 있는 CA 및 맞춤형 암호 세부 정보.
SSL 암호 해독 미러 상태.
프로필 통계 또는 카운터당 SSL 종료.
명령의 출력 필드에 대한 자세한 내용은 서비스 ssl 종료 프로필 표시를 참조하십시오.
SSL 시작 카운터 세부 정보 표시
목적
SSL 시작 세션에 대한 통계 카운터를 표시합니다.
작업
운영 모드에서 명령을 사용합니다 show services ssl initiation counters all .
user@host >
show services ssl initiation counters all
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
Memory errors 0
Handshake errors 0
Cert Cache errors 0
Server Protection errors 0
Proxy errors 0
Crypto errors 0
Certificate errors 0
One-Crypto errors 0
Async-Crypto errors 0
Mirror errors 0
handshakes started 0
handshakes completed 0
active sessions 0
Interdicted cert generated 0
proxy: sessions created 0
proxy: sessions active 0
proxy: sessions ignored 0
proxy: renegotiation ignored 0
proxy: session resumption 0
proxy: secure renegotiation 0
proxy: insecure renegotiation 0
proxy: multiple renegotiation 0
proxy: reneg after resumption 0
init: passthrough requests 0
init: start requests 0
proxy: ECDSA based srvr auth 0
proxy: RSA based srvr auth 0
의미
이 명령을 통해 SSL 시작 카운터에 대한 유용한 정보를 얻을 수 있습니다. 예제:
메모리, 핸드셰이크, 인증서, 서버 보호, 프록시 및 암호화와 관련된 오류 수입니다.
핸드셰이크를 시작하고 핸드셰이크를 완료한 세션 수입니다.
활성 세션 수입니다.
생성된 세션, 활성 세션, 무시된 세션, 재검증 세션, 서로 다른 인증 방법을 가진 세션 등과 같은 SSL 프록시 세션 수
명령의 출력 필드에 대한 자세한 내용은 서비스 ssl 시작 카운터 표시를 참조하십시오.
디스플레이 SSL 시작 카운터 핸드셰이크
목적
SSL 시작 핸드셰이크에 대한 통계 카운터를 표시합니다.
작업
운영 모드에서 명령을 사용합니다 show services ssl initiation counters handshake .
user@host >
show services ssl initiation counters handshake
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
handshakes started 0
handshakes completed 0
active sessions 0
Interdicted cert generated 0
proxy: sessions created 0
proxy: sessions active 0
proxy: sessions ignored 0
proxy: renegotiation ignored 0
proxy: session resumption 0
proxy: secure renegotiation 0
proxy: insecure renegotiation 0
proxy: multiple renegotiation 0
proxy: reneg after resumption 0
init: passthrough requests 0
init: start requests 0
proxy: ECDSA based srvr auth 0
proxy: RSA based srvr auth 0
의미
이 명령을 통해 SSL 시작 카운터에 대한 유용한 정보를 얻을 수 있습니다. 예제:
핸드셰이크를 시작하고 핸드셰이크를 완료한 세션 수입니다.
활성 세션 수입니다.
생성된 세션, 활성 세션, 무시된 세션, 재검증 세션, 서로 다른 인증 방법을 가진 세션 등과 같은 SSL 프록시 세션 수
명령의 출력 필드에 대한 자세한 내용은 서비스 ssl 시작 카운터 표시를 참조하십시오.
SSL 시작 카운터 오류 표시
목적
SSL 시작 세션에서 발생하는 오류에 대한 통계 카운터를 표시합니다.
작업
운영 모드에서 명령을 사용합니다 show services ssl initiation counters error .
user@host >
show services ssl initiation counters error
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
Memory errors 0
Handshake errors 0
Cert Cache errors 0
Server Protection errors 0
Proxy errors 0
Crypto errors 0
Certificate errors 0
One-Crypto errors 0
Async-Crypto errors 0
Mirror errors 0
의미
명령의 출력은 메모리, 핸드셰이크, 인증서, 서버 보호, 프록시 및 암호화, SSL 암호 해독 미러링 기능과 관련된 오류의 수를 표시합니다.
명령의 출력 필드에 대한 자세한 내용은 서비스 ssl 시작 카운터 표시를 참조하십시오.
SSL 시작 프로파일 표시
목적
장비에서 사용할 수 있는 모든 SSL 초기화 프로파일을 표시합니다.
작업
운영 모드에서 명령을 사용합니다 show services ssl initiation profile all .
user@host >
show services ssl initiation profile all
Lsys Name : root-logical-system PIC: fwdd0 fpc[0] pic[0] ---------- ID Name 65536 SSL_PROFILE_65536_proxy_i
SSL 시작 프로파일 요약 표시
목적
SSL 시작 프로필의 요약을 표시합니다.
작업
운영 모드에서 명령을 사용합니다 show services ssl initiation profile brief profile-name .
user@host >
show services ssl initiation profile brief profile-name
Lsys Name : root-logical-system
PIC: fpc0 fpc[0] pic[0] ----------
Profile : SSL_PROFILE_65536_proxy_i
allow non-ssl session : true
preferred-ciphers : medium
Num of url categories configured : 0
의미
프로파일 이름, 비SL 세션 ar 허용 여부, 선호하는 암호, 구성된 URL 범주 수 등과 같은 SSL 시작 프로파일의 세부 정보를 표시합니다.
명령의 출력 필드에 대한 자세한 내용은 서비스 ssl 시작 프로필 표시를 참조하십시오.
SSL 시작 프로파일 세부 정보 표시
목적
SSL 시작 프로파일에 대한 세부 정보를 표시합니다.
작업
운영 모드에서 명령을 사용합니다 show services ssl initiation profile detail profile-name .
user@host >
show services ssl initiation profile detail profile-name
Lsys Name : root-logical-system
PIC: fpc0 fpc[0] pic[0] ----------
Profile : SSL_PROFILE_65536_proxy_i
allow non-ssl session : true
preferred-ciphers : medium
Num of url categories configured : 0
Protocol version : all
Client Authentication : notset
Server Authentication : Ignore Failure
Crypto Mode : sw
Session Resumption : Enabled
CRL check : Enabled
Certficate RSA : ssl-inspect-ca
Renegotiation : only secure allowed
Custom ciphers : 0
Server cert : 0
Decrypt Mirror : Disabled
Trusted CA : 1
handshakes started 8
handshakes completed 8
active sessions 0
total handshake errors 0
Data Errors 0
session resumption 5
secure renegotiation 0
insecure renegotiation 0
multiple renegotiation 0
reneg after resumption 0
no_reneg alert by peer 0
drop on reneg 0
의미
이 명령을 통해 SSL 시작 프로필에 대한 유용한 정보를 얻을 수 있습니다. 예제:
비SL 세션 허용 여부.
기본 SSL 암호
구성된 URL 범주 수입니다.
클라이언트 및 서버 인증, 인증서 철회 작업, 세션 재개, 세션 재협상 등과 같은 다양한 기능의 상태.
신뢰할 수 있는 CA, 체인 인증서 세부 정보.
SSL 암호 해독 미러 상태
SSL 시작 세션 카운터
명령의 출력 필드에 대한 자세한 내용은 서비스 ssl 시작 프로필 표시를 참조하십시오.
SSL 드롭 로그 세부 정보 표시
목적
SSL 드롭 로그에 대한 정보를 표시합니다.
작업
운영 모드에서 명령을 사용합니다 show services ssl droplogs .
user@host >
show services ssl droplogs
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0]-------
===========log mesg for cpu 0
===========log mesg for cpu 1
log mesg is File: ../../../../../../../../../src/junos/jsf/plugin/ssl/jssl_common.c Function: jssl_X509_verify_cert Line: 3767 Message: unable to get local issuer certificate C2S plugin chain : [Plugin junos-jdpi: action: ignore]-> [Plugin junos-tcp-svr-emul: action: none]-> [Plugin junos-ssl-proxy: action: ignore]-> [Plugin junos-ssl-term: action: none]-> [Plugin junos-dpi-stream: action: none]-> [Plugin junos-idp-stream: action: ignore]-> [Plugin junos-ssl-init: action: none]-> [Plugin junos-tcp-clt-emul: action: none] S2C plugin chain: [Plugin junos-jdpi: action: ignore]-> [Plugin junos-tcp-clt-emul: action: none]-> [Plugin junos-ssl-init: action: none]-> [Plugin junos-dpi-stream: action: none]-> [Plugin junos-idp-stream: action: ignore]-> [Plugin junos-ssl-term: action: none]-> [Plugin junos-ssl-proxy: action: ignore]-> [Plugin junos-tcp-svr-emul: action: none] SourceIP:5.0.0.1 DestIP:4.0.0.1 Source Port:40281 Dest Port:443 source interface:ge-0/0/1.0 Destination interface:ge-0/0/0.0 source zone:untrust destination Zone:trust
의미
명령의 출력은 거부/삭제된 세션 세부 정보를 표시합니다. 명령 출력을 사용하여 세션이 중단된 이유를 파악할 수 있습니다.