Comandos operativos para solucionar problemas de sesiones SSL
En la CLI, los comandos operativos proporcionan información que puede ayudar con la resolución de problemas. Puede usar comandos show para determinar y analizar los contadores estadísticos y métricas relacionados con cualquier pérdida de tráfico y tomar una medida correctiva adecuada. En este tema, se trata información para supervisar, mostrar y verificar problemas relacionados con SSL mediante los comandos del modo operativo.
Mostrar sesiones SSL activas
Propósito
Muestra información de todas las sesiones SSL activas en el dispositivo.
Acción
Utilice el show security flow session ssl comando.
user@host >
show security flow session ssl
Output:
Session ID: 1, Policy name: default-permit/5, Timeout: 1746, Valid
In: 4.0.0.1/37369 --> 5.0.0.1/4433;tcp, Conn Tag: 0x0, If: xe-0/0/0.0, Pkts: 6, Bytes: 671,
Out: 5.0.0.1/4433 --> 4.0.0.1/37369;tcp, Conn Tag: 0x0, If: xe-0/0/1.0, Pkts: 7, Bytes: 1635,
Significado
El resultado muestra toda la información de flujo estándar, incluido el ID de la sesión, el valor de tiempo de espera de la sesión, la dirección del flujo, el puerto y la dirección de origen, la dirección y el puerto de destino, el protocolo IP y la interfaz utilizada para la sesión. Ejemplo:
El nombre de la política que permitió este tráfico es permiso predeterminado.
El valor del tiempo de espera.
Tanto la IP de origen como la IP de destino se muestran con sus respectivos puertos de origen o destino.
Tipo de sesión.
La interfaz de origen y la de destino de esta sesión.
Para obtener más información acerca de los campos de salida del comando, consulte mostrar security flow session ssl.
Mostrar detalles de las sesiones SSL activas
Propósito
Muestra información detallada sobre las sesiones SSL activas en el dispositivo.
Acción
Desde el modo operativo, utilice el show security flow session extensive ssl comando.
user@host >
show security flow session extensive ssl
Output:
Session ID: 1, Status: Normal
Flags: 0x42/0x20000000/0x2/0x10103
Policy name: 1/5
Source NAT pool: Null
Dynamic application: junos:UNKNOWN,
Encryption: Unknown
Application traffic control rule-set: INVALID, Rule: INVALID
Maximum timeout: 1800, Current timeout: 1636
Session State: Valid
Start time: 587131, Duration: 163
In: 4.0.0.1/37369 --> 5.0.0.1/4433;tcp,
Conn Tag: 0x0, Interface: xe-0/0/0.0,
Session token: 0x7, Flag: 0x2621
Route: 0xa0010, Gateway: 4.0.0.1, Tunnel: 0
Port sequence: 0, FIN sequence: 0,
FIN state: 0,
Pkts: 6, Bytes: 671
Out: 5.0.0.1/4433 --> 4.0.0.1/37369;tcp,
Conn Tag: 0x0, Interface: xe-0/0/1.0,
Session token: 0x8, Flag: 0x2620
Route: 0xb0010, Gateway: 5.0.0.1, Tunnel: 0
Port sequence: 0, FIN sequence: 0,
FIN state: 0,
Pkts: 7, Bytes: 1635
Total sessions: 1
Significado
El resultado del comando muestra información extensa sobre todas las sesiones activas en el dispositivo.
La información de visualización incluye el ID de sesión, el conjunto de fuentes de traducción de direcciones de red (TDR) (si se utiliza TDR de origen), el valor de tiempo de espera configurado para la sesión y su tiempo de espera estándar, y el tiempo de inicio de la sesión y el tiempo que ha estado activa la sesión, la dirección del flujo, la dirección y el puerto de origen, la dirección y el puerto de destino, el protocolo IP y la interfaz utilizada para la sesión.
Ejemplo:
El nombre de la política que permitió este tráfico es permiso predeterminado.
Los valores máximos de tiempo de espera y tiempo de espera actuales.
Tipo de sesión.
La interfaz de origen y la interfaz de destino para la sesión
La dirección IP de puerta de enlace del siguiente salto
Detalles del conjunto de reglas de AppQoS.
Para obtener más información acerca de los campos de salida del comando, consulte mostrar servicios ssl sesión.
Mostrar detalles específicos de la sesión SSL
Propósito
Muestra información sobre la sesión SSL específica.
Acción
Utilice el show services ssl session 56 comando.
Lsys Name : root-logical-system PIC:fpc0 fpc[0] pic[0] ------ Session ID : 56 Connection Type : PROXY SSL Profile : SSL_PROFILE Resumed Session : No One-crypto : Disabled Async-crypto : Enabled Renegotiation count : 0 Server Certificate Subject Name : /C=IN/ST=KA/L=BNG/O=JN/OU=XYZ/CN=server/emailAddress=ser Server Cert verification status : OK CRL check : Enabled Action : Allow SSL_T Details : Key size : 2048 cipher : ECDHE-RSA-AES256-GCM-SHA384 TLS version : 1.2 SSL_I Details : Key size : 2048 Cipher : ECDHE-RSA-AES256-GCM-SHA384 TLS version : 1.2
Significado
Puede obtener la información detallada sobre la sesión SSL específica con este comando. Ejemplo:
ID de sesión, tipo de conexión y perfil SSL utilizados para la sesión.
Nombre del sujeto del certificado del servidor y estado de verificación.
Estado y acción de la comprobación de CRL.
Detalles de iniciación y finalización de SSL.
La interfaz de origen y la de destino de esta sesión.
Para obtener más información acerca de los campos de salida del comando, consulte mostrar security flow session ssl.
Mostrar certificados SSL
Propósito
Muestra los certificados digitales disponibles en el dispositivo.
Acción
Desde el modo operativo, utilice el show services ssl certificate all comando.
user@host >
show services ssl certificate all
Lsys Name : root-logical-system
PIC:fwdd0 fpc[0] pic[0] ------
CertId
-----------------------------
ssl-inspect-ca
ssl-cert-4k
Significado
Muestra la lista de todos los certificados SSL activos en el dispositivo. Las sesiones SSL usan estos certificados para establecer una comunicación segura entre un cliente y un servidor.
Para obtener más información acerca de los campos de salida del comando, consulte mostrar servicios certificado SSL.
Mostrar información de certificado SSL
Propósito
Muestra información breve sobre el certificado SSL.
Acción
Desde el modo operativo, utilice el show services ssl certificate brief certificate-id certificate-identifier comando. Los siguientes ejemplos muestran los resultados de comandos para certificados de CA y certificados locales.
user@host >
show services ssl certificate brief certificate-id trusted-ca
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
CertID : trusted-ca
Certificate Type : CA-CERT
Issuer : /C=IN/ST=KA/L=BNG/O=XYZ/OU=ABC/CN=5.0.0.1/emailAddress=newca@test.com
Subject : /C=IN/ST=KA/L=BNG/O=XYZ/OU=ABC/CN=5.0.0.1/emailAddress=newca@test.com
Public Key algorithm : rsaEncryption
user@host>
show services ssl certificate brief certificate-id ssl-inspect-ca
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
CertID : ssl-inspect-ca
Certificate Type : LOCAL-CERT
Issuer : /DC=dc/CN=xyz.com/OU=IT/O=abc/L=bng/ST=KA/C=IN
Subject : /DC=dc/CN=xyz.com/OU=IT/O=abc/L=bng/ST=KAC=IN
Validity :
Not before : Mon 02/18/2019 07:30:37 AM
Not after : Sat 02/17/2024 07:30:37 AM
Public Key algorithm : rsaEncryption
Significado
Muestra los detalles del certificado, como el ID del certificado, el tipo, el emisor del certificado y el algoritmo de cifrado utilizado. El type
campo muestra el tipo de certificado(es decir) CA-CERT o LOCAL-CERT. El certificado CA-Cert es un certificado autorizado emitido por una autoridad de certificación de confianza y LOCAL-CERT es un certificado autofirmado.
Tenga en cuenta que el resultado de los comandos varía según el tipo de certificado.
Para obtener más información acerca de los campos de salida del comando, consulte mostrar servicios certificado SSL.
Mostrar detalles del certificado SSL
Propósito
Muestra información detallada sobre el certificado SSL.
Acción
Desde el modo operativo, utilice el show services ssl certificate detail certificate-identifier comando.
user@host >
show services ssl certificate detail certificate-id ssl-inspect-ca
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
CertID : ssl-inspect-ca
Certificate Type : LOCAL-CERT
cert modify time : Mon 02/18/2019 07:30:37 AM
key modify time : Mon 02/18/2019 07:30:23 AM
certificate version : 3
serial number : 72 a4 a8 12 0e a0 da 5f ee 27 47 d8 19 7c 76 b5
Issuer : /DC=dc/CN=xyz.com/OU=IT/O=xyz/L=blr/ST=KA/C=IN
Subject : /DC=dc/CN=xyz.com/OU=IT/O=xyz/L=blr/ST=KA/C=IN
Validity :
Not before : Mon 02/18/2019 07:30:37 AM
Not after : Sat 02/17/2024 07:30:37 AM
Public Key algorithm : rsaEncryption
Signature Algorithm : sha256WithRSAEncryption
user@host >
show services ssl certificate detail certificate-id test
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
CertID : test
Certificate Type : CA-CERT
cert modify time : Mon 09/02/2019 09:47:48 PM
certificate version : 1
serial number : 21 a8 d6 00 eb 24 1f 78 9a e5 0e ec 6a 39 ce 65 66 42 8c 0a
Issuer : /C=IN/ST=KA/L=BLR/O=XYZ/OU=ABC/CN=5.0.0.1/emailAddress=newca@test.com
Subject : /C=IN/ST=KA/L=BLR/O=XYZ/OU=ABC/CN=5.0.0.1/emailAddress=newca@test.com
Public Key algorithm : rsaEncryption
Signature Algorithm : sha256WithRSAEncryption
CRL :
present : no
check : enabled
download-failed : true
check-on-download-fail : enabled
Significado
Muestra los detalles del certificado, incluido el ID del certificado, el tipo, la fecha de última modificación, la versión, el número de serie, el emisor, el asunto, la validez y el algoritmo de cifrado utilizado.
Ejemplo:
Tipo del certificado. El
type
campo muestra el tipo de certificado(es decir) CA-CERT o LOCAL-CERT. El certificado CA-Cert es un certificado autorizado emitido por una autoridad de certificación de confianza y LOCAL-CERT es un certificado autofirmado.Sujeto y emisor del certificado.
Validez del certificado desde la fecha y hasta la fecha.
Algoritmos de clave pública utilizados.
Algoritmo utilizado por la autoridad de certificación para firmar el certificado.
Actualizaciones relacionadas con CRL (solo certificados de CA)
Para obtener más información acerca de los campos de salida del comando, consulte mostrar servicios certificado SSL.
Contadores de proxy SSL todos
Propósito
Muestra todos los contadores estadísticos de las sesiones de proxy SSL.
Acción
Desde el modo operativo, utilice el show services ssl proxy counters all comando.
user@host >
show services ssl proxy counters all
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
session create failed 0
non SSL sessions recieved 0
Memory failures 0
session dropped 0
sessions matched 0
sessions created 0
sessions destroyed 0
sessions ignored 0
sessions ignored : backup only 0
sessions whitelisted : IP based 0
sessions whitelisted : url based 0
crl : data added 0
crl : certificate revoked 0
crl : no crl info present 0
crl : no CA certificate 0
SSL sessions 0
SMTP over STARTTLS 0
IMAP over STARTTLS 0
POP3 over STARTTLS 0
SMTP sessions 0
IMAP sessions 0
POP3 sessions 0
Server not supporting STARTTLS 0
Client not supporting STARTTLS 0
Unified policy : default profile hit 0
Unified policy : no default profile 0
Significado
El resultado muestra los detalles de los contadores relacionados con las sesiones de proxy SSL. Estos contadores generalmente se incrementan cada vez que hay alguna actividad, como la sesión coincidente, la sesión creada, etc.
Ejemplo:
Número de sesiones creadas, emparejadas, ignoradas o destruidas.
Número de sesiones permitidas según la dirección IP y las categorías de URL.
Los recuentos de sesión se basan en información relacionada con CRL, como las nuevas actualizaciones realizadas o los certificados revocados, que no haya CRL presente o que no haya certificado de CA presente.
Número de sesiones que coinciden con el perfil de proxy SSL predeterminado en la política unificada.
Número de sesiones caídas debido a la ausencia del perfil de proxy SSL predeterminado.
Para obtener más información acerca de los campos de salida del comando, consulte mostrar los contadores de proxy ssl de servicios.
Información de contadores de proxy SSL
Propósito
Muestra contadores estadísticos para la sesión proxy SSL para proporcionar información sobre las sesiones.
Acción
Desde el modo operativo, utilice el show services ssl proxy counters info comando.
user@host >
show services ssl proxy counters info
Lsys Name : root-logical-system
PIC:fpc0 ------
sessions matched 0
sessions created 0
sessions destroyed 0
sessions ignored 0
sessions ignored : backup only 0
sessions whitelisted : IP based 0
sessions whitelisted : url based 0
crl : data added 1
crl : certificate revoked 0
crl : no crl info present 0
crl : no CA certificate 0
SSL sessions 0
SMTP over STARTTLS 0
IMAP over STARTTLS 0
POP3 over STARTTLS 0
SMTP sessions 0
IMAP sessions 0
POP3 sessions 0
Server not supporting STARTTLS 0
Client not supporting STARTTLS 0
Unified policy : default profile hit 0
Unified policy : no default profile 0
Significado
El resultado muestra los contadores detalles relacionados con la sesión de proxy SSL. Estos contadores generalmente se incrementan cada vez que hay alguna actividad, como la sesión coincidente, la sesión creada, etc.
Ejemplo:
Número de sesiones creadas, emparejadas, ignoradas o destruidas.
Número de sesiones permitidas.
Los recuentos de sesión se basan en la información relacionada con CRL, como las nuevas actualizaciones realizadas, los certificados revocados, la ausencia de CRL presente o la ausencia de certificado de CA presente.
Número de sesiones que coinciden con el perfil de proxy SSL predeterminado en la política unificada.
Número de sesiones caídas debido a la ausencia del perfil de proxy SSL predeterminado.
Para obtener más información acerca de los campos de salida del comando, consulte mostrar los contadores de proxy ssl de servicios.
Errores de los contadores de proxy SSL
Propósito
Muestra contadores estadísticos para los errores encontrados en la sesión de proxy SSL.
Acción
Desde el modo operativo, utilice el show services ssl proxy counters errors comando.
user@host >
show services ssl proxy counters errors
Lsys Name : root-logical-system
PIC:fpc0 ------
Session create failed 0
non SSL sessions received 0
memory failures 0
session dropped 7
Significado
El resultado muestra los detalles de los contadores de los errores encontrados en una sesión de proxy SSL. Ejemplo:
Número de sesiones fallidas.
Número de sesiones que no son SSL recibidas en el sistema.
Número de sesiones caídas.
Para obtener más información acerca de los campos de salida del comando, consulte mostrar los contadores de proxy ssl de servicios.
Mostrar detalles del perfil del proxy SSL
Propósito
Muestra información sobre el perfil de proxy SSL.
Acción
Desde el modo operativo, utilice el show services ssl proxy profile profile-name comando.
user@host >
show services ssl proxy profile profile-name
Lsys Name : root-logical-system
PIC:fwdd0 fpc[0] pic[0] ------
Profile: ssl-proxy
enable-tracing: false
root-ca expired: false
allow non-ssl session: true
ssl-termination-id: 65537
ssl-initiation-id: 65537
Number of whitelist entries: 0
Significado
El resultado del comando muestra los detalles del perfil de proxy SSL. Ejemplo:
Número de sesiones permitidas en la lista.
Si se permiten sesiones que no son SSL.
Si el certificado raíz está activo o vencido.
Para obtener más información acerca de los campos de salida del comando, consulte mostrar servicios ssl proxy profile.
Mostrar perfiles de proxy SSL
Propósito
Muestra todos los perfiles de proxy SSL configurados en el dispositivo.
Acción
Desde el modo operativo, utilice el show services ssl proxy profile all comando.
user@host >
show services ssl proxy profile all
Lsys Name : root-logical-system
PIC:fwdd0 fpc[0] pic[0] ------
ID Name
10 p1
11 p2
Significado
El resultado muestra la lista de perfiles de proxy SSL disponibles en el dispositivo.
Para obtener más información acerca de los campos de salida del comando, consulte mostrar servicios ssl proxy profile.
Mostrar estadísticas de la caché de sesión del proxy SSL
Propósito
Muestra los datos de la caché de sesión de proxy SSL.
Acción
Desde el modo operativo, utilice el show services ssl proxy session-cache statistics comando.
user@host >
show services ssl proxy session-cache statistics
Lsys Name : root-logical-system
PIC: fpc0 fpc[0] pic[0]------------
Session cache hit : 0
Session cache miss : 0
Session cache full : 0
Significado
La salida del comando muestra estadísticas de caché de sesión de proxy SSL. Puede obtener los detalles, como el número de veces que se encuentra la información relacionada con una sesión SSL en la caché o la cantidad de veces que falta la información relacionada con una sesión SSL en la caché, y el número de veces que se alcanza el límite de caché de sesión.
Para obtener más información acerca de los campos de salida del comando, consulte mostrar servicios ssl proxy de las estadísticas de la caché de sesión.
Mostrar resumen de la caché de sesión de proxy SSL
Propósito
Muestra información breve sobre las entradas almacenadas en la caché de sesión de proxy SSL.
Acción
Desde el modo operativo, utilice el show services ssl proxy session-cache entries summary comando.
user@host >
show services ssl proxy session-cache entries summary
Lsys Name : root-logical-system
PIC:fwdd0 fpc[0] pic[0] ------
Hash Entry 1
Status: ACTIVE, Time to expire 294 seconds
Session Id Length: 32
Session Id: 1b 2a 9f 5f d8 6e d2 cd 6b b8 89 e8 88 07 75 80 32 c2 54 5a c7 9b 12 a2 e6 5c f0 6d 85 c5 40 4b
Dst IP: 5.0.0.1, Dst Port: 20753
SSL-T Profile Id: 2, SSL-I Profile Id: 2
Significado
La salida del comando muestra los detalles de las entradas de la caché de sesión de proxy SSL, como la información de sesión guardada en la caché, el estado de la sesión, el ID de sesión y la longitud del ID de sesión, la dirección IP de destino y los detalles de puerto, y los ID de perfil de iniciación y finalización de SSL.
Para obtener más información acerca de los campos de salida del comando, consulte mostrar servicios de proxy ssl entradas de caché de sesión.
Mostrar detalles de la caché de sesión de proxy SSL
Propósito
Muestra información detallada de las entradas almacenadas en la caché de sesión de proxy SSL.
Acción
Desde el modo operativo, utilice el show services ssl proxy session-cache entries detail comando.
user@host>
show services ssl proxy session-cache entries detail
Lsys Name : root-logical-system
PIC: fpc0 fpc[0] pic[0
Hash Entry: 1
Status: ACTIVE, Time to expire 294 seconds
Session Id Length: 32
Session Id: c1 6e 88 65 43 9f 57 2f 0f 06 f7 4b 03 c5 38 58 74 b4 4f 43 66 9a 6f c7 a6 2a ae 22 ab f8 b4 ce
Dst IP: 5.0.0.1, Dst Port: 4433
SSL-T Profile Id: 2, SSL-I Profile Id: 2
Session Info:
Interdicted cert type [0x0]: CA issued, Authentication failed
Server cert verification result: unable to get local issuer certificate [0x14]
Server name extn len: 0, name: None
Server cert chain hash: b5 3d cd cb ca 35 81 5a db 6f 83 ab 5e a0 19 73
SSL-TERM session:
SSL ver: 0x303
Compression Method: 0
Cipher Id: 0x3000004
Master Key Length: 48
SSL-INIT session:
SSL ver: 0x303
Compression Method: 0
Cipher Id: 0x3000004
Master Key Length: 48
Hash Entry:2
Status: EXPIRED
Session Id Length: 32
Session Id: 1b 2a 9f 5f d8 6e d2 cd 6b b8 89 e8 88 07 75 80 32 c2 54 5a c7 9b 12 a2 e6 5c f0 6d 85 c5 40 4b
Dst IP: 5.0.0.1, Dst Port: 4433,
SSL-T Profile Id: 2, SSL-I Profile Id: 2
Session Info:
-------------
Interdicted cert type [0x0]: CA issued, Authentication failed
Server cert verification result: unable to get local issuer certificate [0x14]
Server name extn len: 0, name: None
Server cert chain hash: b5 3d cd cb ca 35 81 5a db 6f 83 ab 5e a0 19 73
SSL-TERM session:
----------------
SSL ver: 0x303
Compression Method: 0
Cipher Id: 0x3000004
Master Key Length: 48
SSL-INIT session:
----------------
SSL ver: 0x303
Compression Method: 0
Cipher Id: 0x3000004
Master Key Length: 48
Stale entry in cache: 1
Significado
La salida del comando muestra los detalles de las entradas de sesión de proxy SSL en caché. Ejemplo:
Estado de la entrada de caché con tiempo de vencimiento. Porque las entradas de la caché solo son válidas para intervalos cortos.
ID de sesión y duración del ID de sesión.
Dirección IP de destino y detalles del puerto de destino.
Detalles de la sesión de iniciación y finalización de SSL.
Validación de certificados del servidor, detalles del certificado interceptado.
Para obtener más información acerca de los campos de salida del comando, consulte mostrar servicios de proxy ssl entradas de caché de sesión.
Mostrar estadísticas de la caché de la caché de certificados de proxy SSL
Propósito
Muestra los datos de la caché de certificados de proxy SSL.
Acción
Desde el modo operativo, utilice el show services ssl proxy certificate–cache statistics comando.
user@host >
show services ssl proxy certificate–cache statistics
Lsys Name : root-logical-system
PIC:fwdd0 fpc[0] pic[0] ------
cert cache hit 0
cert cache miss 0
cert cache full
Significado
La salida del comando muestra estadísticas de caché de certificados de proxy SSL, como el número de veces que la coincidencia está disponible en la caché, el número de veces que una entrada no se encuentra en la caché o la cantidad de veces que se llenó la caché.
Para obtener más información acerca de los campos de salida del comando, consulte mostrar servicios de las estadísticas de caché de certificados de proxy ssl.
Mostrar resumen de entrada en caché de certificados de proxy SSL
Propósito
Muestra información breve sobre las entradas almacenadas en la caché de certificados de proxy SSL.
Acción
Desde el modo operativo, utilice el show services ssl proxy certificate-cache entries summary comando.
user@host >
show services ssl proxy certificate-cache entries summary
Lsys Name : root-logical-system
PIC:fwdd0 fpc[0] pic[0] ------
Cache Entries : 1
Serial number : 0x12345678
SSL-I Profile Id: 1
Num of CRL updates: 0
Significado
La salida del comando muestra estadísticas de caché de certificados, como el número de entradas de caché, el número de serie, el ID de perfil y las actualizaciones de CRL.
Para obtener más información acerca de los campos de salida del comando, consulte mostrar servicios entradas de caché de certificados de proxy ssl.
Mostrar detalles de la caché de certificados de proxy SSL
Propósito
Muestra información detallada de las entradas almacenadas en la caché de certificados de proxy SSL.
Acción
Desde el modo operativo, utilice el show services ssl proxy certificate-cache entries detail comando.
user@host >
show services ssl proxy certificate-cache entries detail
Lsys Name : root-logical-system
PIC:fwdd0 fpc[0] pic[0] ------
Cache entrie : 1
Serial number : 0x12345678
SSL-I Profile Id: 1
Num of CRL updates: 0
Status: Active: Time to expire 570 seconds
Cert Info:
-------------
Interdicted cert type [0x0]: CA issued, Authentication failed
Server cert verification result: unable to get local issuer certificate [0x14]
Cert reference count: 2
Subject: /C=IN/ST=KA/O=XYZ Inc/CN=ABC Inc Root CA/emailAddress=newca@test.com
Issuer: /CN=SSL-PROXY:DUMMY_CERT:GENERATED DUE TO SRVR AUTH FAILURE
Significado
Puede obtener información detallada sobre las entradas de certificado de proxy SSL en caché con este comando. Ejemplo:
Número de entradas presentes en la caché de certificados.
Número de veces que se actualiza la CRL hasta que se agregó el certificado interceptado a la caché de certificados.
El certificado interceptado en caché y los resultados de la verificación del certificado del servidor.
Sujeto y emisor del certificado interdictado.
Para obtener más información acerca de los campos de salida del comando, consulte mostrar servicios entradas de caché de certificados de proxy ssl.
Mostrar estado del proxy SSL
Propósito
Muestra el estado de la sesión de proxy SSL.
Acción
Desde el modo operativo, utilice el show services ssl proxy status comando.
user@host >
show services ssl proxy status
PIC:fwdd0 fpc[0] pic[0] ------
One-Crypto : Enable
Async Crypto : disable
Proxy-activation : Only if interested svcs configured
Local Logging : disable
SSLFP-PKID Link : UP
Certificate cache : -
Certificate Cache activated : yes
Invalidate certificate cache on CRL update : Disabled
Max cert cache nodes : 4000
Cert cache node in use : 0
Session cache : -
Session cache activated : Activated
Max session cache node : 19660
Session cache node in use : 0
Significado
El comando muestra el estado general del proxy SSL. Ejemplo:
Estado criptográfico, estado de activación de proxy.
Detalles de la caché de certificados, como si la caché de certificados está activada, configuración de CRL, tamaño de caché de certificado, número de certificados en la caché de certificados que se utiliza actualmente.
Detalles de la caché de sesión, como si la caché de sesión está activada, tamaño de la caché de sesión y número de sesiones en la caché de sesión que se utiliza actualmente.
Para obtener más información acerca de los campos de salida del comando, consulte mostrar el estado del proxy ssl de los servicios.
Mostrar detalles del contador de terminación SSL
Propósito
Muestra los detalles estadísticos del contador para las sesiones de terminación de SSL.
Acción
Desde el modo operativo, utilice el show services ssl termination counters all comando.
user@host >
show services ssl termination counters all
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
Memory errors 0
Handshake errors 0
Cert Cache errors 0
Server Protection errors 0
Proxy errors 0
Crypto errors 0
Certificate errors 0
One-Crypto errors 0
Async-Crypto errors 0
Mirror errors 0
handshakes started 0
handshakes completed 0
active sessions 0
Interdicted cert generated 0
proxy: sessions created 0
proxy: sessions active 0
proxy: sessions ignored 0
proxy: renegotiation ignored 0
proxy: session resumption 0
proxy: secure renegotiation 0
proxy: insecure renegotiation 0
proxy: multiple renegotiation 0
proxy: reneg after resumption 0
init: passthrough requests 0
init: start requests 0
proxy: ECDSA based srvr auth 0
proxy: RSA based srvr auth 0
Significado
Puede obtener información útil sobre los contadores de terminación SSL con este comando. Ejemplo:
Número de errores relacionados con la memoria, el apretón de manos, el certificado, la protección del servidor, el proxy y las criptos
Número de sesiones de apretón de manos iniciado y de apretón de manos completado.
Número de sesiones activas.
Número de sesiones de proxy SSL, como sesiones creadas, sesiones activas, sesiones ignoradas, sesiones de renegociación, sesiones con diferentes métodos de autenticación, etc.
Para obtener más información acerca de los campos de salida del comando, consulte mostrar los contadores de terminación ssl de servicios.
Mostrar errores de los contadores de terminación SSL
Propósito
Muestra contadores estadísticos para los errores encontrados en la sesión de terminación SSL.
Acción
Desde el modo operativo, utilice el show services ssl termination counters error comando.
user@host >
show services ssl termination counters error
Lsys Name : root-logical-system
PIC:fpc0 ------
Memory errors 0
Handshake errors 0
Cert Cache errors 0
Server Protection errors 0
Proxy errors 0
Crypto errors 0
Certificate errors 0
One-Crypto errors 0
Async-Crypto errors 0
Mirror errors 0
Significado
El resultado del comando muestra la cantidad de errores relacionados con la memoria, el protocolo de manos, certificado, protección del servidor, proxy y cifrado, y la funcionalidad de duplicación de descifrado SSL.
Para obtener más información acerca de los campos de salida del comando, consulte mostrar los contadores de terminación ssl de servicios.
Mostrar apretón de manos de contadores de terminación SSL
Propósito
Muestra contadores estadísticos para el apretón de manos de terminación SSL.
Acción
Desde el modo operativo, utilice el show services ssl termination counters handshake comando.
user@host >
show services ssl termination counters handshake
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
handshakes started 0
handshakes completed 0
active sessions 0
Interdicted cert generated 0
proxy: sessions created 0
proxy: sessions active 0
proxy: sessions ignored 0
proxy: renegotiation ignored 0
proxy: session resumption 0
proxy: secure renegotiation 0
proxy: insecure renegotiation 0
proxy: multiple renegotiation 0
proxy: reneg after resumption 0
init: passthrough requests 0
init: start requests 0
proxy: ECDSA based srvr auth 0
proxy: RSA based srvr auth 0
Significado
Puede obtener información útil sobre los contadores de terminación SSL con este comando. Ejemplo:
Número de sesiones de apretón de manos iniciado y de apretón de manos completado.
Número de sesiones activas
Número de sesiones de proxy SSL, como sesiones creadas, sesiones activas, sesiones ignoradas, sesiones de renegociación, sesiones con diferentes métodos de autenticación, etc.
Para obtener más información acerca de los campos de salida del comando, consulte mostrar los contadores de terminación ssl de servicios.
Mostrar perfil de terminación SSL
Propósito
Muestra todos los perfiles de terminación SSL disponibles en el dispositivo.
Acción
Desde el modo operativo, utilice el show services ssl termination profile all comando.
user@host >
show services ssl termination profile all
Lsys Name : root-logical-system
PIC:fwdd0 fpc[0] pic[0] ------
ID Name
65536 p1_65536_proxy_t
65537 p2_65537_proxy_t
Significado
El resultado del comando muestra la lista de todos los perfiles de terminación SSL disponibles en el dispositivo.
Para obtener más información acerca de los campos de salida del comando, consulte mostrar el perfil de terminación ssl de servicios.
Mostrar resumen del perfil de finalización de SSL
Propósito
Muestra la breve información acerca de los perfiles de terminación SSL.
Acción
Desde el modo operativo, utilice el show services ssl termination profile brief profile-name comando.
user@host >
show services ssl termination profile brief profile-name
Lsys Name : root-logical-system
PIC: fwdd0 fpc[0] pic[0] ----------
Profile: ssl-termination
allow non-ssl session: true
preferred-ciphers: medium
Num of url categories configured: NIL
Number of whitelist entries: 0
Significado
Muestra los detalles del perfil de terminación SSL.
Puede obtener información útil sobre el perfil de iniciación SSL con este comando. Ejemplo:
Si el certificado raíz está activo o vencido.
Cifrado SSL preferido con fuerza de clave.
Si se permiten sesiones que no son SSL.
Número de categorías de URL configuradas.
Número de sesiones permitidas.
Para obtener más información acerca de los campos de salida del comando, consulte mostrar el perfil de terminación ssl de servicios.
Mostrar detalles del perfil de finalización de SSL
Propósito
Muestra la información detallada del perfil de terminación SSL.
Acción
Desde el modo operativo, utilice el show services ssl termination profile detail profile-name comando.
user@host >
show services ssl termination profile detail profile-name
Lsys Name : root-logical-system
PIC: fwdd0 fpc[0] pic[0] ----------
Profile : p1_65536_proxy_t
allow non-ssl session : true
preferred-ciphers : medium
Num of url categories configured : 0
Protocol version : all
Client Authentication : notset
Server Authentication : Required
Crypto Mode : hw-sync
Session Resumption : Enabled
CRL check : Enabled
Certficate RSA : p_5
Renegotiation : only secure allowed
Custom ciphers : 0
Server cert : 0
Decrypt Mirror : Disabled
Trusted CA : 0
handshakes started 0
handshakes completed 0
active sessions 0
total handshake errors 0
Data Errors 0
session resumption 0
secure renegotiation 0
insecure renegotiation 0
multiple renegotiation 0
reneg after resumption 0
no_reneg alert by peer 0
drop on reneg 0
Significado
Puede obtener información útil sobre el perfil de terminación SSL con este comando. Ejemplo:
Nombre de perfil.
Si se permiten las sesiones que no son SSL.
Categoría del cifrado preferido.
Número de categorías de URL configuradas.
Versión del protocolo.
Estado de las diversas funcionalidades, como autenticación de cliente y servidor, acciones de revocación de certificados, reanudación de sesiones, renegociación de sesión.
Detalles de cifrado personalizado y CA de confianza.
Estado de espejo de descifrado SSL.
Terminación SSL por estadísticas o contadores de perfil.
Para obtener más información acerca de los campos de salida del comando, consulte mostrar el perfil de terminación ssl de servicios.
Mostrar detalles del contador de iniciación SSL
Propósito
Muestra contadores estadísticos para la sesión de iniciación de SSL.
Acción
Desde el modo operativo, utilice el show services ssl initiation counters all comando.
user@host >
show services ssl initiation counters all
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
Memory errors 0
Handshake errors 0
Cert Cache errors 0
Server Protection errors 0
Proxy errors 0
Crypto errors 0
Certificate errors 0
One-Crypto errors 0
Async-Crypto errors 0
Mirror errors 0
handshakes started 0
handshakes completed 0
active sessions 0
Interdicted cert generated 0
proxy: sessions created 0
proxy: sessions active 0
proxy: sessions ignored 0
proxy: renegotiation ignored 0
proxy: session resumption 0
proxy: secure renegotiation 0
proxy: insecure renegotiation 0
proxy: multiple renegotiation 0
proxy: reneg after resumption 0
init: passthrough requests 0
init: start requests 0
proxy: ECDSA based srvr auth 0
proxy: RSA based srvr auth 0
Significado
Puede obtener información útil sobre los contadores de iniciación SSL con este comando. Ejemplo:
Número de errores relacionados con memoria, apretón de manos, certificado, protección del servidor, proxy y cifrado.
Número de sesiones que iniciaron el apretón de manos y completaron el apretón de manos.
Número de sesiones activas.
Número de sesiones de proxy SSL, como sesiones creadas, sesiones activas, sesiones ignoradas, sesiones de renegociación, sesiones con diferentes métodos de autenticación, etc.
Para obtener más información acerca de los campos de salida del comando, consulte mostrar contadores de iniciación ssl de servicios.
Mostrar protocolo de manos del contador de iniciación SSL
Propósito
Muestra contadores estadísticos para el apretón de manos de iniciación SSL.
Acción
Desde el modo operativo, utilice el show services ssl initiation counters handshake comando.
user@host >
show services ssl initiation counters handshake
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
handshakes started 0
handshakes completed 0
active sessions 0
Interdicted cert generated 0
proxy: sessions created 0
proxy: sessions active 0
proxy: sessions ignored 0
proxy: renegotiation ignored 0
proxy: session resumption 0
proxy: secure renegotiation 0
proxy: insecure renegotiation 0
proxy: multiple renegotiation 0
proxy: reneg after resumption 0
init: passthrough requests 0
init: start requests 0
proxy: ECDSA based srvr auth 0
proxy: RSA based srvr auth 0
Significado
Puede obtener información útil sobre los contadores de iniciación SSL con este comando. Ejemplo:
Número de sesiones de apretón de manos iniciado y de apretón de manos completado.
Número de sesiones activas.
Número de sesiones de proxy SSL, como sesiones creadas, sesiones activas, sesiones ignoradas, sesiones de renegociación, sesiones con diferentes métodos de autenticación, etc.
Para obtener más información acerca de los campos de salida del comando, consulte mostrar contadores de iniciación ssl de servicios.
Mostrar errores del contador de iniciación SSL
Propósito
Muestra contadores estadísticos para los errores encontrados en la sesión de iniciación de SSL.
Acción
Desde el modo operativo, utilice el show services ssl initiation counters error comando.
user@host >
show services ssl initiation counters error
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------
Memory errors 0
Handshake errors 0
Cert Cache errors 0
Server Protection errors 0
Proxy errors 0
Crypto errors 0
Certificate errors 0
One-Crypto errors 0
Async-Crypto errors 0
Mirror errors 0
Significado
El resultado del comando muestra la cantidad de errores relacionados con la memoria, el protocolo de manos, certificado, protección del servidor, proxy y cifrado, y la funcionalidad de duplicación de descifrado SSL.
Para obtener más información acerca de los campos de salida del comando, consulte mostrar contadores de iniciación ssl de servicios.
Mostrar perfil de iniciación SSL
Propósito
Muestra todos los perfiles de iniciación SSL disponibles en el dispositivo.
Acción
Desde el modo operativo, utilice el show services ssl initiation profile all comando.
user@host >
show services ssl initiation profile all
Lsys Name : root-logical-system PIC: fwdd0 fpc[0] pic[0] ---------- ID Name 65536 SSL_PROFILE_65536_proxy_i
Significado
El resultado del comando muestra la lista de todos los perfiles de iniciación SSL disponibles en el dispositivo.
Para obtener más información acerca de los campos de salida del comando, consulte mostrar perfil de iniciación ssl de servicios.
Mostrar resumen del perfil de iniciación de SSL
Propósito
Muestra el resumen del perfil de iniciación de SSL.
Acción
Desde el modo operativo, utilice el show services ssl initiation profile brief profile-name comando.
user@host >
show services ssl initiation profile brief profile-name
Lsys Name : root-logical-system
PIC: fpc0 fpc[0] pic[0] ----------
Profile : SSL_PROFILE_65536_proxy_i
allow non-ssl session : true
preferred-ciphers : medium
Num of url categories configured : 0
Significado
Muestra los detalles del perfil de iniciación de SSL, como el nombre del perfil, si la ar de sesiones no SSL permitidas, los cifrados preferidos y el número de categorías de URL configuradas.
Para obtener más información acerca de los campos de salida del comando, consulte mostrar perfil de iniciación ssl de servicios.
Mostrar detalles del perfil de iniciación SSL
Propósito
Muestra la información detallada del perfil de iniciación de SSL.
Acción
Desde el modo operativo, utilice el show services ssl initiation profile detail profile-name comando.
user@host >
show services ssl initiation profile detail profile-name
Lsys Name : root-logical-system
PIC: fpc0 fpc[0] pic[0] ----------
Profile : SSL_PROFILE_65536_proxy_i
allow non-ssl session : true
preferred-ciphers : medium
Num of url categories configured : 0
Protocol version : all
Client Authentication : notset
Server Authentication : Ignore Failure
Crypto Mode : sw
Session Resumption : Enabled
CRL check : Enabled
Certficate RSA : ssl-inspect-ca
Renegotiation : only secure allowed
Custom ciphers : 0
Server cert : 0
Decrypt Mirror : Disabled
Trusted CA : 1
handshakes started 8
handshakes completed 8
active sessions 0
total handshake errors 0
Data Errors 0
session resumption 5
secure renegotiation 0
insecure renegotiation 0
multiple renegotiation 0
reneg after resumption 0
no_reneg alert by peer 0
drop on reneg 0
Significado
Puede obtener información útil sobre el perfil de iniciación SSL con este comando. Ejemplo:
Si se permiten sesiones que no son SSL.
Cifrado SSL preferido
Número de categorías de URL configuradas.
Estado de las diversas funcionalidades, como autenticación de cliente y servidor, acciones de revocación de certificados, reanudación de sesiones, renegociación de sesión.
Ca de confianza, detalles de certificados de cadena.
Estado de espejo de descifrado SSL
Contadores de sesión de iniciación SSL
Para obtener más información acerca de los campos de salida del comando, consulte mostrar perfil de iniciación ssl de servicios.
Mostrar detalles del registro de caída de SSL
Propósito
Muestra información acerca de los registros de caída de SSL.
Acción
Desde el modo operativo, utilice el show services ssl droplogs comando.
user@host >
show services ssl droplogs
Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0]-------
===========log mesg for cpu 0
===========log mesg for cpu 1
log mesg is File: ../../../../../../../../../src/junos/jsf/plugin/ssl/jssl_common.c Function: jssl_X509_verify_cert Line: 3767 Message: unable to get local issuer certificate C2S plugin chain : [Plugin junos-jdpi: action: ignore]-> [Plugin junos-tcp-svr-emul: action: none]-> [Plugin junos-ssl-proxy: action: ignore]-> [Plugin junos-ssl-term: action: none]-> [Plugin junos-dpi-stream: action: none]-> [Plugin junos-idp-stream: action: ignore]-> [Plugin junos-ssl-init: action: none]-> [Plugin junos-tcp-clt-emul: action: none] S2C plugin chain: [Plugin junos-jdpi: action: ignore]-> [Plugin junos-tcp-clt-emul: action: none]-> [Plugin junos-ssl-init: action: none]-> [Plugin junos-dpi-stream: action: none]-> [Plugin junos-idp-stream: action: ignore]-> [Plugin junos-ssl-term: action: none]-> [Plugin junos-ssl-proxy: action: ignore]-> [Plugin junos-tcp-svr-emul: action: none] SourceIP:5.0.0.1 DestIP:4.0.0.1 Source Port:40281 Dest Port:443 source interface:ge-0/0/1.0 Destination interface:ge-0/0/0.0 source zone:untrust destination Zone:trust
Significado
El resultado del comando muestra los detalles de la sesión denegada/caída. Puede usar la salida del comando para comprender el problema por el que se ha caído la sesión.