Ayúdenos a mejorar su experiencia.

Háganos saber su opinión.

¿Podría dedicar dos minutos de su tiempo a completar una encuesta?

list Table of Contents

¿Fue útil esta traducción automática?

starstarstarstarstar
Go to English page
DESCARGO DE RESPONSABILIDAD:

Esta página será traducida por software de traducción automática de terceros. Si bien nos hemos esforzado por proporcionar una traducción de calidad, Juniper Networks no puede garantizar su corrección. En caso de duda respecto a la exactitud de la información que ofrece esta traducción, consulte la versión en inglés. El PDF descargable está disponible solo en inglés.

Comandos operativos para solucionar problemas de sesiones SSL

date_range 01-Oct-21

En la CLI, los comandos operativos proporcionan información que puede ayudar con la resolución de problemas. Puede usar comandos show para determinar y analizar los contadores estadísticos y métricas relacionados con cualquier pérdida de tráfico y tomar una medida correctiva adecuada. En este tema, se trata información para supervisar, mostrar y verificar problemas relacionados con SSL mediante los comandos del modo operativo.

Mostrar sesiones SSL activas

Propósito

Muestra información de todas las sesiones SSL activas en el dispositivo.

Acción

Utilice el show security flow session ssl comando.

content_copy zoom_out_map
user@host > show security flow session ssl
 
Output: 

Session ID: 1, Policy name: default-permit/5, Timeout: 1746, Valid 
In: 4.0.0.1/37369 --> 5.0.0.1/4433;tcp, Conn Tag: 0x0, If: xe-0/0/0.0, Pkts: 6, Bytes: 671, 
Out: 5.0.0.1/4433 --> 4.0.0.1/37369;tcp, Conn Tag: 0x0, If: xe-0/0/1.0, Pkts: 7, Bytes: 1635, 

Significado

El resultado muestra toda la información de flujo estándar, incluido el ID de la sesión, el valor de tiempo de espera de la sesión, la dirección del flujo, el puerto y la dirección de origen, la dirección y el puerto de destino, el protocolo IP y la interfaz utilizada para la sesión. Ejemplo:

  • El nombre de la política que permitió este tráfico es permiso predeterminado.

  • El valor del tiempo de espera.

  • Tanto la IP de origen como la IP de destino se muestran con sus respectivos puertos de origen o destino.

  • Tipo de sesión.

  • La interfaz de origen y la de destino de esta sesión.

Para obtener más información acerca de los campos de salida del comando, consulte mostrar security flow session ssl.

Mostrar detalles de las sesiones SSL activas

Propósito

Muestra información detallada sobre las sesiones SSL activas en el dispositivo.

Acción

Desde el modo operativo, utilice el show security flow session extensive ssl comando.

content_copy zoom_out_map
user@host > show security flow session extensive ssl
Output: 
Session ID: 1, Status: Normal 
Flags: 0x42/0x20000000/0x2/0x10103 
Policy name: 1/5 
Source NAT pool: Null 
Dynamic application: junos:UNKNOWN, 
Encryption: Unknown 
Application traffic control rule-set: INVALID, Rule: INVALID 
Maximum timeout: 1800, Current timeout: 1636 
Session State: Valid 
Start time: 587131, Duration: 163 
In: 4.0.0.1/37369 --> 5.0.0.1/4433;tcp, 
Conn Tag: 0x0, Interface: xe-0/0/0.0, 
Session token: 0x7, Flag: 0x2621 
Route: 0xa0010, Gateway: 4.0.0.1, Tunnel: 0 
Port sequence: 0, FIN sequence: 0, 
FIN state: 0, 
Pkts: 6, Bytes: 671 
Out: 5.0.0.1/4433 --> 4.0.0.1/37369;tcp, 
Conn Tag: 0x0, Interface: xe-0/0/1.0, 
Session token: 0x8, Flag: 0x2620 
Route: 0xb0010, Gateway: 5.0.0.1, Tunnel: 0 
Port sequence: 0, FIN sequence: 0, 
FIN state: 0, 
Pkts: 7, Bytes: 1635 
Total sessions: 1

Significado

El resultado del comando muestra información extensa sobre todas las sesiones activas en el dispositivo.

La información de visualización incluye el ID de sesión, el conjunto de fuentes de traducción de direcciones de red (TDR) (si se utiliza TDR de origen), el valor de tiempo de espera configurado para la sesión y su tiempo de espera estándar, y el tiempo de inicio de la sesión y el tiempo que ha estado activa la sesión, la dirección del flujo, la dirección y el puerto de origen, la dirección y el puerto de destino, el protocolo IP y la interfaz utilizada para la sesión.

Ejemplo:

  • El nombre de la política que permitió este tráfico es permiso predeterminado.

  • Los valores máximos de tiempo de espera y tiempo de espera actuales.

  • Tipo de sesión.

  • La interfaz de origen y la interfaz de destino para la sesión

  • La dirección IP de puerta de enlace del siguiente salto

  • Detalles del conjunto de reglas de AppQoS.

Para obtener más información acerca de los campos de salida del comando, consulte mostrar servicios ssl sesión.

Mostrar detalles específicos de la sesión SSL

Propósito

Muestra información sobre la sesión SSL específica.

Acción

Utilice el show services ssl session 56 comando.

content_copy zoom_out_map
Lsys Name : root-logical-system

PIC:fpc0 fpc[0] pic[0] ------

Session ID          : 56
Connection Type     : PROXY
SSL Profile         : SSL_PROFILE
Resumed Session     : No
One-crypto          : Disabled
Async-crypto        : Enabled
Renegotiation count : 0
Server Certificate Subject Name    : /C=IN/ST=KA/L=BNG/O=JN/OU=XYZ/CN=server/emailAddress=ser
Server Cert verification status    : OK
CRL check           : Enabled
Action              : Allow
SSL_T Details :

      Key size      : 2048
      cipher        : ECDHE-RSA-AES256-GCM-SHA384
      TLS version   : 1.2
SSL_I Details :

      Key size      : 2048
      Cipher        : ECDHE-RSA-AES256-GCM-SHA384
      TLS version   : 1.2

Significado

Puede obtener la información detallada sobre la sesión SSL específica con este comando. Ejemplo:

  • ID de sesión, tipo de conexión y perfil SSL utilizados para la sesión.

  • Nombre del sujeto del certificado del servidor y estado de verificación.

  • Estado y acción de la comprobación de CRL.

  • Detalles de iniciación y finalización de SSL.

  • La interfaz de origen y la de destino de esta sesión.

Para obtener más información acerca de los campos de salida del comando, consulte mostrar security flow session ssl.

Mostrar certificados SSL

Propósito

Muestra los certificados digitales disponibles en el dispositivo.

Acción

Desde el modo operativo, utilice el show services ssl certificate all comando.

content_copy zoom_out_map
user@host > show services ssl certificate all

Lsys Name : root-logical-system
PIC:fwdd0 fpc[0] pic[0] ------
CertId  
-----------------------------
ssl-inspect-ca
ssl-cert-4k

Significado

Muestra la lista de todos los certificados SSL activos en el dispositivo. Las sesiones SSL usan estos certificados para establecer una comunicación segura entre un cliente y un servidor.

Para obtener más información acerca de los campos de salida del comando, consulte mostrar servicios certificado SSL.

Mostrar información de certificado SSL

Propósito

Muestra información breve sobre el certificado SSL.

Acción

Desde el modo operativo, utilice el show services ssl certificate brief certificate-id certificate-identifier comando. Los siguientes ejemplos muestran los resultados de comandos para certificados de CA y certificados locales.

content_copy zoom_out_map
user@host > show services ssl certificate brief certificate-id trusted-ca

Lsys Name : root-logical-system

PIC:fpc0 fpc[0] pic[0] ------

CertID : trusted-ca 
Certificate Type : CA-CERT 
Issuer : /C=IN/ST=KA/L=BNG/O=XYZ/OU=ABC/CN=5.0.0.1/emailAddress=newca@test.com 
Subject : /C=IN/ST=KA/L=BNG/O=XYZ/OU=ABC/CN=5.0.0.1/emailAddress=newca@test.com 
Public Key algorithm : rsaEncryption
content_copy zoom_out_map
user@host> show services ssl certificate brief certificate-id ssl-inspect-ca

Lsys Name : root-logical-system

PIC:fpc0 fpc[0] pic[0] ------

CertID                : ssl-inspect-ca
Certificate Type      : LOCAL-CERT
Issuer                : /DC=dc/CN=xyz.com/OU=IT/O=abc/L=bng/ST=KA/C=IN
Subject               : /DC=dc/CN=xyz.com/OU=IT/O=abc/L=bng/ST=KAC=IN
Validity :
    Not before        : Mon 02/18/2019 07:30:37 AM
    Not after         : Sat 02/17/2024 07:30:37 AM
Public Key algorithm  : rsaEncryption

Significado

Muestra los detalles del certificado, como el ID del certificado, el tipo, el emisor del certificado y el algoritmo de cifrado utilizado. El type campo muestra el tipo de certificado(es decir) CA-CERT o LOCAL-CERT. El certificado CA-Cert es un certificado autorizado emitido por una autoridad de certificación de confianza y LOCAL-CERT es un certificado autofirmado.

Tenga en cuenta que el resultado de los comandos varía según el tipo de certificado.

Para obtener más información acerca de los campos de salida del comando, consulte mostrar servicios certificado SSL.

Mostrar detalles del certificado SSL

Propósito

Muestra información detallada sobre el certificado SSL.

Acción

Desde el modo operativo, utilice el show services ssl certificate detail certificate-identifier comando.

content_copy zoom_out_map
user@host > show services ssl certificate detail certificate-id ssl-inspect-ca
Lsys Name : root-logical-system

PIC:fpc0 fpc[0] pic[0] ------

CertID                : ssl-inspect-ca
Certificate Type      : LOCAL-CERT
cert modify time      : Mon 02/18/2019 07:30:37 AM
key modify time       : Mon 02/18/2019 07:30:23 AM
certificate version   : 3
serial number         : 72 a4 a8 12 0e a0 da 5f ee 27 47 d8 19 7c 76 b5
Issuer                : /DC=dc/CN=xyz.com/OU=IT/O=xyz/L=blr/ST=KA/C=IN
Subject               : /DC=dc/CN=xyz.com/OU=IT/O=xyz/L=blr/ST=KA/C=IN
Validity :
    Not before        : Mon 02/18/2019 07:30:37 AM
    Not after         : Sat 02/17/2024 07:30:37 AM
Public Key algorithm  : rsaEncryption
Signature Algorithm   : sha256WithRSAEncryption
content_copy zoom_out_map
user@host > show services ssl certificate detail certificate-id test
Lsys Name : root-logical-system

PIC:fpc0 fpc[0] pic[0] ------

CertID                : test
Certificate Type      : CA-CERT
cert modify time      : Mon 09/02/2019 09:47:48 PM
certificate version   : 1
serial number         : 21 a8 d6 00 eb 24 1f 78 9a e5 0e ec 6a 39 ce 65 66 42 8c 0a
Issuer                : /C=IN/ST=KA/L=BLR/O=XYZ/OU=ABC/CN=5.0.0.1/emailAddress=newca@test.com
Subject               : /C=IN/ST=KA/L=BLR/O=XYZ/OU=ABC/CN=5.0.0.1/emailAddress=newca@test.com
Public Key algorithm  : rsaEncryption
Signature Algorithm   : sha256WithRSAEncryption
CRL :
    present           : no
    check             : enabled
    download-failed   : true
    check-on-download-fail : enabled

Significado

Muestra los detalles del certificado, incluido el ID del certificado, el tipo, la fecha de última modificación, la versión, el número de serie, el emisor, el asunto, la validez y el algoritmo de cifrado utilizado.

Ejemplo:

  • Tipo del certificado. El type campo muestra el tipo de certificado(es decir) CA-CERT o LOCAL-CERT. El certificado CA-Cert es un certificado autorizado emitido por una autoridad de certificación de confianza y LOCAL-CERT es un certificado autofirmado.

  • Sujeto y emisor del certificado.

  • Validez del certificado desde la fecha y hasta la fecha.

  • Algoritmos de clave pública utilizados.

  • Algoritmo utilizado por la autoridad de certificación para firmar el certificado.

  • Actualizaciones relacionadas con CRL (solo certificados de CA)

Para obtener más información acerca de los campos de salida del comando, consulte mostrar servicios certificado SSL.

Contadores de proxy SSL todos

Propósito

Muestra todos los contadores estadísticos de las sesiones de proxy SSL.

Acción

Desde el modo operativo, utilice el show services ssl proxy counters all comando.

content_copy zoom_out_map
user@host > show services ssl proxy counters all  
Lsys Name : root-logical-system

PIC:fpc0 fpc[0] pic[0] ------

session create failed                          0
non SSL sessions recieved                      0
Memory failures                                0
session dropped                                0
sessions matched                               0
sessions created                               0
sessions destroyed                             0
sessions ignored                               0
sessions ignored : backup only                 0
sessions whitelisted : IP based                0
sessions whitelisted : url based               0
crl : data added                               0
crl : certificate revoked                      0
crl : no crl info present                      0
crl : no CA certificate                        0
SSL sessions                                   0
SMTP over STARTTLS                             0
IMAP over STARTTLS                             0
POP3 over STARTTLS                             0
SMTP  sessions                                 0
IMAP  sessions                                 0
POP3  sessions                                 0
Server not supporting STARTTLS                 0
Client not supporting STARTTLS                 0
Unified policy : default profile hit           0
Unified policy : no default profile            0

Significado

El resultado muestra los detalles de los contadores relacionados con las sesiones de proxy SSL. Estos contadores generalmente se incrementan cada vez que hay alguna actividad, como la sesión coincidente, la sesión creada, etc.

Ejemplo:

  • Número de sesiones creadas, emparejadas, ignoradas o destruidas.

  • Número de sesiones permitidas según la dirección IP y las categorías de URL.

  • Los recuentos de sesión se basan en información relacionada con CRL, como las nuevas actualizaciones realizadas o los certificados revocados, que no haya CRL presente o que no haya certificado de CA presente.

  • Número de sesiones que coinciden con el perfil de proxy SSL predeterminado en la política unificada.

  • Número de sesiones caídas debido a la ausencia del perfil de proxy SSL predeterminado.

Para obtener más información acerca de los campos de salida del comando, consulte mostrar los contadores de proxy ssl de servicios.

Información de contadores de proxy SSL

Propósito

Muestra contadores estadísticos para la sesión proxy SSL para proporcionar información sobre las sesiones.

Acción

Desde el modo operativo, utilice el show services ssl proxy counters info comando.

content_copy zoom_out_map
user@host > show services ssl proxy counters info 

Lsys Name : root-logical-system
PIC:fpc0 ------ 

sessions matched 0 
sessions created 0 
sessions destroyed 0 
sessions ignored 0 
sessions ignored : backup only 0 
sessions whitelisted : IP based 0 
sessions whitelisted : url based 0 
crl : data added 1 
crl : certificate revoked 0 
crl : no crl info present 0 
crl : no CA certificate 0 
SSL sessions 0 
SMTP over STARTTLS 0 
IMAP over STARTTLS 0
POP3 over STARTTLS 0 
SMTP sessions 0 
IMAP sessions 0 
POP3 sessions 0 
Server not supporting STARTTLS 0 
Client not supporting STARTTLS 0 
Unified policy : default profile hit 0 
Unified policy : no default profile 0 

Significado

El resultado muestra los contadores detalles relacionados con la sesión de proxy SSL. Estos contadores generalmente se incrementan cada vez que hay alguna actividad, como la sesión coincidente, la sesión creada, etc.

Ejemplo:

  • Número de sesiones creadas, emparejadas, ignoradas o destruidas.

  • Número de sesiones permitidas.

  • Los recuentos de sesión se basan en la información relacionada con CRL, como las nuevas actualizaciones realizadas, los certificados revocados, la ausencia de CRL presente o la ausencia de certificado de CA presente.

  • Número de sesiones que coinciden con el perfil de proxy SSL predeterminado en la política unificada.

  • Número de sesiones caídas debido a la ausencia del perfil de proxy SSL predeterminado.

Para obtener más información acerca de los campos de salida del comando, consulte mostrar los contadores de proxy ssl de servicios.

Errores de los contadores de proxy SSL

Propósito

Muestra contadores estadísticos para los errores encontrados en la sesión de proxy SSL.

Acción

Desde el modo operativo, utilice el show services ssl proxy counters errors comando.

content_copy zoom_out_map
user@host > show services ssl proxy counters errors 

Lsys Name : root-logical-system
PIC:fpc0 ------ 

Session create failed 0 
non SSL sessions received 0 
memory failures 0 
session dropped 7 

Significado

El resultado muestra los detalles de los contadores de los errores encontrados en una sesión de proxy SSL. Ejemplo:

  • Número de sesiones fallidas.

  • Número de sesiones que no son SSL recibidas en el sistema.

  • Número de sesiones caídas.

Para obtener más información acerca de los campos de salida del comando, consulte mostrar los contadores de proxy ssl de servicios.

Mostrar detalles del perfil del proxy SSL

Propósito

Muestra información sobre el perfil de proxy SSL.

Acción

Desde el modo operativo, utilice el show services ssl proxy profile profile-name comando.

content_copy zoom_out_map
user@host > show services ssl proxy profile profile-name

Lsys Name : root-logical-system
PIC:fwdd0 fpc[0] pic[0] ------
Profile: ssl-proxy 
enable-tracing: false 
root-ca expired: false 
allow non-ssl session: true 
ssl-termination-id: 65537 
ssl-initiation-id: 65537 
Number of whitelist entries: 0 

Significado

El resultado del comando muestra los detalles del perfil de proxy SSL. Ejemplo:

  • Número de sesiones permitidas en la lista.

  • Si se permiten sesiones que no son SSL.

  • Si el certificado raíz está activo o vencido.

Para obtener más información acerca de los campos de salida del comando, consulte mostrar servicios ssl proxy profile.

Mostrar perfiles de proxy SSL

Propósito

Muestra todos los perfiles de proxy SSL configurados en el dispositivo.

Acción

Desde el modo operativo, utilice el show services ssl proxy profile all comando.

content_copy zoom_out_map
user@host > show services ssl proxy profile all

Lsys Name : root-logical-system
PIC:fwdd0 fpc[0] pic[0] ------
ID          Name
10	     p1
11	     p2

Significado

El resultado muestra la lista de perfiles de proxy SSL disponibles en el dispositivo.

Para obtener más información acerca de los campos de salida del comando, consulte mostrar servicios ssl proxy profile.

Mostrar estadísticas de la caché de sesión del proxy SSL

Propósito

Muestra los datos de la caché de sesión de proxy SSL.

Acción

Desde el modo operativo, utilice el show services ssl proxy session-cache statistics comando.

content_copy zoom_out_map
user@host > show services ssl proxy session-cache statistics

Lsys Name : root-logical-system
PIC: fpc0 fpc[0] pic[0]------------

Session cache hit                :          0
Session cache miss               :          0
Session cache full               :          0

Significado

La salida del comando muestra estadísticas de caché de sesión de proxy SSL. Puede obtener los detalles, como el número de veces que se encuentra la información relacionada con una sesión SSL en la caché o la cantidad de veces que falta la información relacionada con una sesión SSL en la caché, y el número de veces que se alcanza el límite de caché de sesión.

Para obtener más información acerca de los campos de salida del comando, consulte mostrar servicios ssl proxy de las estadísticas de la caché de sesión.

Mostrar resumen de la caché de sesión de proxy SSL

Propósito

Muestra información breve sobre las entradas almacenadas en la caché de sesión de proxy SSL.

Acción

Desde el modo operativo, utilice el show services ssl proxy session-cache entries summary comando.

content_copy zoom_out_map
user@host > show services ssl proxy session-cache entries summary

Lsys Name : root-logical-system
PIC:fwdd0 fpc[0] pic[0] ------
Hash Entry 1 
Status: ACTIVE, Time to expire 294 seconds 
Session Id Length: 32 
Session Id: 1b 2a 9f 5f d8 6e d2 cd 6b b8 89 e8 88 07 75 80 32 c2 54 5a c7 9b 12 a2 e6 5c f0 6d 85 c5 40 4b 
Dst IP: 5.0.0.1, Dst Port: 20753 
SSL-T Profile Id: 2, SSL-I Profile Id: 2 

Significado

La salida del comando muestra los detalles de las entradas de la caché de sesión de proxy SSL, como la información de sesión guardada en la caché, el estado de la sesión, el ID de sesión y la longitud del ID de sesión, la dirección IP de destino y los detalles de puerto, y los ID de perfil de iniciación y finalización de SSL.

Para obtener más información acerca de los campos de salida del comando, consulte mostrar servicios de proxy ssl entradas de caché de sesión.

Mostrar detalles de la caché de sesión de proxy SSL

Propósito

Muestra información detallada de las entradas almacenadas en la caché de sesión de proxy SSL.

Acción

Desde el modo operativo, utilice el show services ssl proxy session-cache entries detail comando.

content_copy zoom_out_map
user@host> show services ssl proxy session-cache entries detail
Lsys Name : root-logical-system
PIC: fpc0 fpc[0] pic[0
Hash Entry: 1 
Status: ACTIVE, Time to expire 294 seconds 
Session Id Length: 32 
Session Id: c1 6e 88 65 43 9f 57 2f 0f 06 f7 4b 03 c5 38 58 74 b4 4f 43 66 9a 6f c7 a6 2a ae 22 ab f8 b4 ce 
Dst IP: 5.0.0.1, Dst Port: 4433 
SSL-T Profile Id: 2, SSL-I Profile Id: 2 
Session Info: 
Interdicted cert type [0x0]: CA issued, Authentication failed 
Server cert verification result: unable to get local issuer certificate [0x14] 
Server name extn len: 0, name: None 
Server cert chain hash: b5 3d cd cb ca 35 81 5a db 6f 83 ab 5e a0 19 73 

SSL-TERM session: 
SSL ver: 0x303 
Compression Method: 0 
Cipher Id: 0x3000004
Master Key Length: 48 

SSL-INIT session: 
SSL ver: 0x303 
Compression Method: 0 
Cipher Id: 0x3000004 
Master Key Length: 48 

Hash Entry:2 
Status: EXPIRED 
Session Id Length: 32 
Session Id: 1b 2a 9f 5f d8 6e d2 cd 6b b8 89 e8 88 07 75 80 32 c2 54 5a c7 9b 12 a2 e6 5c f0 6d 85 c5 40 4b 
Dst IP: 5.0.0.1, Dst Port: 4433, 
SSL-T Profile Id: 2, SSL-I Profile Id: 2 
Session Info: 
------------- 
Interdicted cert type [0x0]: CA issued, Authentication failed 
Server cert verification result: unable to get local issuer certificate [0x14] 
Server name extn len: 0, name: None 
Server cert chain hash: b5 3d cd cb ca 35 81 5a db 6f 83 ab 5e a0 19 73 

SSL-TERM session: 
---------------- 
SSL ver: 0x303 
Compression Method: 0 
Cipher Id: 0x3000004 
Master Key Length: 48 

SSL-INIT session: 
---------------- 
SSL ver: 0x303 
Compression Method: 0 
Cipher Id: 0x3000004 
Master Key Length: 48 


Stale entry in cache: 1 

Significado

La salida del comando muestra los detalles de las entradas de sesión de proxy SSL en caché. Ejemplo:

  • Estado de la entrada de caché con tiempo de vencimiento. Porque las entradas de la caché solo son válidas para intervalos cortos.

  • ID de sesión y duración del ID de sesión.

  • Dirección IP de destino y detalles del puerto de destino.

  • Detalles de la sesión de iniciación y finalización de SSL.

  • Validación de certificados del servidor, detalles del certificado interceptado.

Para obtener más información acerca de los campos de salida del comando, consulte mostrar servicios de proxy ssl entradas de caché de sesión.

Mostrar estadísticas de la caché de la caché de certificados de proxy SSL

Propósito

Muestra los datos de la caché de certificados de proxy SSL.

Acción

Desde el modo operativo, utilice el show services ssl proxy certificate–cache statistics comando.

content_copy zoom_out_map
user@host > show services ssl proxy certificate–cache statistics

Lsys Name : root-logical-system
PIC:fwdd0 fpc[0] pic[0] ------
cert cache hit 0 
cert cache miss 0 
cert cache full 

Significado

La salida del comando muestra estadísticas de caché de certificados de proxy SSL, como el número de veces que la coincidencia está disponible en la caché, el número de veces que una entrada no se encuentra en la caché o la cantidad de veces que se llenó la caché.

Para obtener más información acerca de los campos de salida del comando, consulte mostrar servicios de las estadísticas de caché de certificados de proxy ssl.

Mostrar resumen de entrada en caché de certificados de proxy SSL

Propósito

Muestra información breve sobre las entradas almacenadas en la caché de certificados de proxy SSL.

Acción

Desde el modo operativo, utilice el show services ssl proxy certificate-cache entries summary comando.

content_copy zoom_out_map
user@host > show services ssl proxy certificate-cache entries summary

Lsys Name : root-logical-system
PIC:fwdd0 fpc[0] pic[0] ------
Cache Entries : 1 
Serial number : 0x12345678 
SSL-I Profile Id: 1 
Num of CRL updates: 0

Significado

La salida del comando muestra estadísticas de caché de certificados, como el número de entradas de caché, el número de serie, el ID de perfil y las actualizaciones de CRL.

Para obtener más información acerca de los campos de salida del comando, consulte mostrar servicios entradas de caché de certificados de proxy ssl.

Mostrar detalles de la caché de certificados de proxy SSL

Propósito

Muestra información detallada de las entradas almacenadas en la caché de certificados de proxy SSL.

Acción

Desde el modo operativo, utilice el show services ssl proxy certificate-cache entries detail comando.

content_copy zoom_out_map
user@host > show services ssl proxy certificate-cache entries detail

Lsys Name : root-logical-system
PIC:fwdd0 fpc[0] pic[0] ------
Cache entrie : 1 
Serial number : 0x12345678 
SSL-I Profile Id: 1 
Num of CRL updates: 0 
Status: Active: Time to expire 570 seconds 

Cert Info: 
------------- 
Interdicted cert type [0x0]: CA issued, Authentication failed 
Server cert verification result: unable to get local issuer certificate [0x14] 
Cert reference count: 2 
Subject: /C=IN/ST=KA/O=XYZ Inc/CN=ABC Inc Root CA/emailAddress=newca@test.com 
Issuer: /CN=SSL-PROXY:DUMMY_CERT:GENERATED DUE TO SRVR AUTH FAILURE 

Significado

Puede obtener información detallada sobre las entradas de certificado de proxy SSL en caché con este comando. Ejemplo:

  • Número de entradas presentes en la caché de certificados.

  • Número de veces que se actualiza la CRL hasta que se agregó el certificado interceptado a la caché de certificados.

  • El certificado interceptado en caché y los resultados de la verificación del certificado del servidor.

  • Sujeto y emisor del certificado interdictado.

Para obtener más información acerca de los campos de salida del comando, consulte mostrar servicios entradas de caché de certificados de proxy ssl.

Mostrar estado del proxy SSL

Propósito

Muestra el estado de la sesión de proxy SSL.

Acción

Desde el modo operativo, utilice el show services ssl proxy status comando.

content_copy zoom_out_map
user@host > show services ssl proxy status
PIC:fwdd0 fpc[0] pic[0] ------
        One-Crypto       :  Enable
        Async Crypto     :  disable
        Proxy-activation :  Only if interested svcs configured
        Local Logging    :  disable
        SSLFP-PKID Link  :  UP
        Certificate cache : -
                Certificate Cache activated                : yes
                Invalidate certificate cache on CRL update : Disabled
                Max cert cache nodes  :       4000
                Cert cache node in use :          0
        Session cache : -
                Session cache activated : Activated
                Max session cache node  :      19660
                Session cache node in use     :          0

Significado

El comando muestra el estado general del proxy SSL. Ejemplo:

  • Estado criptográfico, estado de activación de proxy.

  • Detalles de la caché de certificados, como si la caché de certificados está activada, configuración de CRL, tamaño de caché de certificado, número de certificados en la caché de certificados que se utiliza actualmente.

  • Detalles de la caché de sesión, como si la caché de sesión está activada, tamaño de la caché de sesión y número de sesiones en la caché de sesión que se utiliza actualmente.

Para obtener más información acerca de los campos de salida del comando, consulte mostrar el estado del proxy ssl de los servicios.

Mostrar detalles del contador de terminación SSL

Propósito

Muestra los detalles estadísticos del contador para las sesiones de terminación de SSL.

Acción

Desde el modo operativo, utilice el show services ssl termination counters all comando.

content_copy zoom_out_map
user@host > show services ssl termination counters all

Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------

Memory errors                                  0
Handshake errors                               0
Cert Cache errors                              0
Server Protection errors                       0
Proxy errors                                   0
Crypto errors                                  0
Certificate errors                             0
One-Crypto errors                              0
Async-Crypto errors                            0
Mirror errors                                  0
handshakes started                             0
handshakes completed                           0
active sessions                                0
Interdicted cert generated                     0
proxy: sessions created                        0
proxy: sessions active                         0
proxy: sessions ignored                        0
proxy: renegotiation ignored                   0
proxy: session resumption                      0
proxy: secure renegotiation                    0
proxy: insecure renegotiation                  0
proxy: multiple renegotiation                  0
proxy: reneg after resumption                  0
init: passthrough requests                     0
init: start requests                           0
proxy: ECDSA based srvr auth                   0
proxy: RSA based srvr auth                     0

Significado

Puede obtener información útil sobre los contadores de terminación SSL con este comando. Ejemplo:

  • Número de errores relacionados con la memoria, el apretón de manos, el certificado, la protección del servidor, el proxy y las criptos

  • Número de sesiones de apretón de manos iniciado y de apretón de manos completado.

  • Número de sesiones activas.

  • Número de sesiones de proxy SSL, como sesiones creadas, sesiones activas, sesiones ignoradas, sesiones de renegociación, sesiones con diferentes métodos de autenticación, etc.

Para obtener más información acerca de los campos de salida del comando, consulte mostrar los contadores de terminación ssl de servicios.

Mostrar errores de los contadores de terminación SSL

Propósito

Muestra contadores estadísticos para los errores encontrados en la sesión de terminación SSL.

Acción

Desde el modo operativo, utilice el show services ssl termination counters error comando.

content_copy zoom_out_map
user@host > show services ssl termination counters error

Lsys Name : root-logical-system
PIC:fpc0 ------ 

Memory errors 0 
Handshake errors 0 
Cert Cache errors 0 
Server Protection errors 0 
Proxy errors 0 
Crypto errors 0 
Certificate errors 0 
One-Crypto errors 0 
Async-Crypto errors 0 
Mirror errors 0

Significado

El resultado del comando muestra la cantidad de errores relacionados con la memoria, el protocolo de manos, certificado, protección del servidor, proxy y cifrado, y la funcionalidad de duplicación de descifrado SSL.

Para obtener más información acerca de los campos de salida del comando, consulte mostrar los contadores de terminación ssl de servicios.

Mostrar apretón de manos de contadores de terminación SSL

Propósito

Muestra contadores estadísticos para el apretón de manos de terminación SSL.

Acción

Desde el modo operativo, utilice el show services ssl termination counters handshake comando.

content_copy zoom_out_map
user@host > show services ssl termination counters handshake

Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0] ------ 

handshakes started 0 
handshakes completed 0 
active sessions 0 
Interdicted cert generated 0 
proxy: sessions created 0 
proxy: sessions active 0 
proxy: sessions ignored 0 
proxy: renegotiation ignored 0 
proxy: session resumption 0 
proxy: secure renegotiation 0 
proxy: insecure renegotiation 0 
proxy: multiple renegotiation 0 
proxy: reneg after resumption 0 
init: passthrough requests 0 
init: start requests 0 
proxy: ECDSA based srvr auth 0 
proxy: RSA based srvr auth 0

Significado

Puede obtener información útil sobre los contadores de terminación SSL con este comando. Ejemplo:

  • Número de sesiones de apretón de manos iniciado y de apretón de manos completado.

  • Número de sesiones activas

  • Número de sesiones de proxy SSL, como sesiones creadas, sesiones activas, sesiones ignoradas, sesiones de renegociación, sesiones con diferentes métodos de autenticación, etc.

Para obtener más información acerca de los campos de salida del comando, consulte mostrar los contadores de terminación ssl de servicios.

Mostrar perfil de terminación SSL

Propósito

Muestra todos los perfiles de terminación SSL disponibles en el dispositivo.

Acción

Desde el modo operativo, utilice el show services ssl termination profile all comando.

content_copy zoom_out_map
user@host > show services ssl termination profile all
Lsys Name : root-logical-system
PIC:fwdd0 fpc[0] pic[0] ------
ID          Name
65536	p1_65536_proxy_t
65537	p2_65537_proxy_t

Significado

El resultado del comando muestra la lista de todos los perfiles de terminación SSL disponibles en el dispositivo.

Para obtener más información acerca de los campos de salida del comando, consulte mostrar el perfil de terminación ssl de servicios.

Mostrar resumen del perfil de finalización de SSL

Propósito

Muestra la breve información acerca de los perfiles de terminación SSL.

Acción

Desde el modo operativo, utilice el show services ssl termination profile brief profile-name comando.

content_copy zoom_out_map
user@host > show services ssl termination profile brief profile-name

Lsys Name : root-logical-system

PIC: fwdd0 fpc[0] pic[0] ----------
Profile: ssl-termination 
allow non-ssl session: true 
preferred-ciphers: medium 
Num of url categories configured: NIL 
Number of whitelist entries: 0 

Significado

Muestra los detalles del perfil de terminación SSL.

Puede obtener información útil sobre el perfil de iniciación SSL con este comando. Ejemplo:

  • Si el certificado raíz está activo o vencido.

  • Cifrado SSL preferido con fuerza de clave.

  • Si se permiten sesiones que no son SSL.

  • Número de categorías de URL configuradas.

  • Número de sesiones permitidas.

Para obtener más información acerca de los campos de salida del comando, consulte mostrar el perfil de terminación ssl de servicios.

Mostrar detalles del perfil de finalización de SSL

Propósito

Muestra la información detallada del perfil de terminación SSL.

Acción

Desde el modo operativo, utilice el show services ssl termination profile detail profile-name comando.

content_copy zoom_out_map
user@host > show services ssl termination profile detail profile-name
Lsys Name : root-logical-system

PIC: fwdd0 fpc[0] pic[0] ----------

Profile                          : p1_65536_proxy_t
allow non-ssl session            : true
preferred-ciphers                : medium
Num of url categories configured : 0
Protocol version                 : all
Client Authentication            : notset
Server Authentication            : Required
Crypto Mode                      : hw-sync
Session Resumption               : Enabled
CRL check                        : Enabled
Certficate RSA : p_5
Renegotiation        : only secure allowed
Custom ciphers       : 0
Server cert          : 0
Decrypt Mirror       : Disabled
Trusted CA           : 0
       handshakes started            0
       handshakes completed          0
       active sessions               0
       total handshake errors        0
       Data Errors                   0
       session resumption            0
       secure renegotiation          0
       insecure renegotiation        0
       multiple renegotiation        0
       reneg after resumption        0
       no_reneg alert by peer        0
       drop on reneg                 0

Significado

Puede obtener información útil sobre el perfil de terminación SSL con este comando. Ejemplo:

  • Nombre de perfil.

  • Si se permiten las sesiones que no son SSL.

  • Categoría del cifrado preferido.

  • Número de categorías de URL configuradas.

  • Versión del protocolo.

  • Estado de las diversas funcionalidades, como autenticación de cliente y servidor, acciones de revocación de certificados, reanudación de sesiones, renegociación de sesión.

  • Detalles de cifrado personalizado y CA de confianza.

  • Estado de espejo de descifrado SSL.

  • Terminación SSL por estadísticas o contadores de perfil.

Para obtener más información acerca de los campos de salida del comando, consulte mostrar el perfil de terminación ssl de servicios.

Mostrar detalles del contador de iniciación SSL

Propósito

Muestra contadores estadísticos para la sesión de iniciación de SSL.

Acción

Desde el modo operativo, utilice el show services ssl initiation counters all comando.

content_copy zoom_out_map
user@host > show services ssl initiation counters all
Lsys Name : root-logical-system

PIC:fpc0 fpc[0] pic[0] ------

Memory errors                                  0
Handshake errors                               0
Cert Cache errors                              0
Server Protection errors                       0
Proxy errors                                   0
Crypto errors                                  0
Certificate errors                             0
One-Crypto errors                              0
Async-Crypto errors                            0
Mirror errors                                  0
handshakes started                             0
handshakes completed                           0
active sessions                                0
Interdicted cert generated                     0
proxy: sessions created                        0
proxy: sessions active                         0
proxy: sessions ignored                        0
proxy: renegotiation ignored                   0
proxy: session resumption                      0
proxy: secure renegotiation                    0
proxy: insecure renegotiation                  0
proxy: multiple renegotiation                  0
proxy: reneg after resumption                  0
init: passthrough requests                     0
init: start requests                           0
proxy: ECDSA based srvr auth                   0
proxy: RSA based srvr auth                     0

Significado

Puede obtener información útil sobre los contadores de iniciación SSL con este comando. Ejemplo:

  • Número de errores relacionados con memoria, apretón de manos, certificado, protección del servidor, proxy y cifrado.

  • Número de sesiones que iniciaron el apretón de manos y completaron el apretón de manos.

  • Número de sesiones activas.

  • Número de sesiones de proxy SSL, como sesiones creadas, sesiones activas, sesiones ignoradas, sesiones de renegociación, sesiones con diferentes métodos de autenticación, etc.

Para obtener más información acerca de los campos de salida del comando, consulte mostrar contadores de iniciación ssl de servicios.

Mostrar protocolo de manos del contador de iniciación SSL

Propósito

Muestra contadores estadísticos para el apretón de manos de iniciación SSL.

Acción

Desde el modo operativo, utilice el show services ssl initiation counters handshake comando.

content_copy zoom_out_map
user@host > show services ssl initiation counters handshake
Lsys Name : root-logical-system

PIC:fpc0 fpc[0] pic[0] ------

handshakes started 0 
handshakes completed 0 
active sessions 0 
Interdicted cert generated 0 
proxy: sessions created 0 
proxy: sessions active 0 
proxy: sessions ignored 0 
proxy: renegotiation ignored 0 
proxy: session resumption 0 
proxy: secure renegotiation 0 
proxy: insecure renegotiation 0 
proxy: multiple renegotiation 0 
proxy: reneg after resumption 0 
init: passthrough requests 0 
init: start requests 0 
proxy: ECDSA based srvr auth 0 
proxy: RSA based srvr auth 0 

Significado

Puede obtener información útil sobre los contadores de iniciación SSL con este comando. Ejemplo:

  • Número de sesiones de apretón de manos iniciado y de apretón de manos completado.

  • Número de sesiones activas.

  • Número de sesiones de proxy SSL, como sesiones creadas, sesiones activas, sesiones ignoradas, sesiones de renegociación, sesiones con diferentes métodos de autenticación, etc.

Para obtener más información acerca de los campos de salida del comando, consulte mostrar contadores de iniciación ssl de servicios.

Mostrar errores del contador de iniciación SSL

Propósito

Muestra contadores estadísticos para los errores encontrados en la sesión de iniciación de SSL.

Acción

Desde el modo operativo, utilice el show services ssl initiation counters error comando.

content_copy zoom_out_map
user@host >  show services ssl initiation counters error
Lsys Name : root-logical-system

PIC:fpc0 fpc[0] pic[0] ------

Memory errors 0 
Handshake errors 0 
Cert Cache errors 0 
Server Protection errors 0 
Proxy errors 0 
Crypto errors 0 
Certificate errors 0 
One-Crypto errors 0 
Async-Crypto errors 0 
Mirror errors 0

Significado

El resultado del comando muestra la cantidad de errores relacionados con la memoria, el protocolo de manos, certificado, protección del servidor, proxy y cifrado, y la funcionalidad de duplicación de descifrado SSL.

Para obtener más información acerca de los campos de salida del comando, consulte mostrar contadores de iniciación ssl de servicios.

Mostrar perfil de iniciación SSL

Propósito

Muestra todos los perfiles de iniciación SSL disponibles en el dispositivo.

Acción

Desde el modo operativo, utilice el show services ssl initiation profile all comando.

content_copy zoom_out_map
user@host > show services ssl initiation profile all
content_copy zoom_out_map
Lsys Name : root-logical-system

PIC: fwdd0 fpc[0] pic[0] ----------

ID          Name

65536  SSL_PROFILE_65536_proxy_i

Significado

El resultado del comando muestra la lista de todos los perfiles de iniciación SSL disponibles en el dispositivo.

Para obtener más información acerca de los campos de salida del comando, consulte mostrar perfil de iniciación ssl de servicios.

Mostrar resumen del perfil de iniciación de SSL

Propósito

Muestra el resumen del perfil de iniciación de SSL.

Acción

Desde el modo operativo, utilice el show services ssl initiation profile brief profile-name comando.

content_copy zoom_out_map
user@host > show services ssl initiation profile brief profile-name
Lsys Name : root-logical-system

PIC: fpc0 fpc[0] pic[0] ----------

Profile                          : SSL_PROFILE_65536_proxy_i
allow non-ssl session            : true
preferred-ciphers                : medium
Num of url categories configured : 0

Significado

Muestra los detalles del perfil de iniciación de SSL, como el nombre del perfil, si la ar de sesiones no SSL permitidas, los cifrados preferidos y el número de categorías de URL configuradas.

Para obtener más información acerca de los campos de salida del comando, consulte mostrar perfil de iniciación ssl de servicios.

Mostrar detalles del perfil de iniciación SSL

Propósito

Muestra la información detallada del perfil de iniciación de SSL.

Acción

Desde el modo operativo, utilice el show services ssl initiation profile detail profile-name comando.

content_copy zoom_out_map
user@host > show services ssl initiation profile detail profile-name
Lsys Name : root-logical-system

PIC: fpc0 fpc[0] pic[0] ----------

Profile                          : SSL_PROFILE_65536_proxy_i
allow non-ssl session            : true
preferred-ciphers                : medium
Num of url categories configured : 0
Protocol version                 : all
Client Authentication            : notset
Server Authentication            : Ignore Failure
Crypto Mode                      : sw
Session Resumption               : Enabled
CRL check                        : Enabled
Certficate RSA : ssl-inspect-ca
Renegotiation        : only secure allowed
Custom ciphers       : 0
Server cert          : 0
Decrypt Mirror       : Disabled
Trusted CA           : 1
       handshakes started            8
       handshakes completed          8
       active sessions               0
       total handshake errors        0
       Data Errors                   0
       session resumption            5
       secure renegotiation          0
       insecure renegotiation        0
       multiple renegotiation        0
       reneg after resumption        0
       no_reneg alert by peer        0
       drop on reneg                 0

Significado

Puede obtener información útil sobre el perfil de iniciación SSL con este comando. Ejemplo:

  • Si se permiten sesiones que no son SSL.

  • Cifrado SSL preferido

  • Número de categorías de URL configuradas.

  • Estado de las diversas funcionalidades, como autenticación de cliente y servidor, acciones de revocación de certificados, reanudación de sesiones, renegociación de sesión.

  • Ca de confianza, detalles de certificados de cadena.

  • Estado de espejo de descifrado SSL

  • Contadores de sesión de iniciación SSL

Para obtener más información acerca de los campos de salida del comando, consulte mostrar perfil de iniciación ssl de servicios.

Mostrar detalles del registro de caída de SSL

Propósito

Muestra información acerca de los registros de caída de SSL.

Acción

Desde el modo operativo, utilice el show services ssl droplogs comando.

content_copy zoom_out_map
user@host > show services ssl droplogs

Lsys Name : root-logical-system
PIC:fpc0 fpc[0] pic[0]-------

 ===========log mesg for cpu 0
 
 ===========log mesg for cpu 1
 
 log mesg is  File: ../../../../../../../../../src/junos/jsf/plugin/ssl/jssl_common.c Function: jssl_X509_verify_cert Line: 3767 Message: unable to get local issuer certificate C2S plugin chain : [Plugin junos-jdpi: action: ignore]-> [Plugin junos-tcp-svr-emul: action: none]-> [Plugin junos-ssl-proxy: action: ignore]-> [Plugin junos-ssl-term: action: none]-> [Plugin junos-dpi-stream: action: none]-> [Plugin junos-idp-stream: action: ignore]-> [Plugin junos-ssl-init: action: none]-> [Plugin junos-tcp-clt-emul: action: none] S2C plugin chain: [Plugin junos-jdpi: action: ignore]-> [Plugin junos-tcp-clt-emul: action: none]-> [Plugin junos-ssl-init: action: none]-> [Plugin junos-dpi-stream: action: none]-> [Plugin junos-idp-stream: action: ignore]-> [Plugin junos-ssl-term: action: none]-> [Plugin junos-ssl-proxy: action: ignore]-> [Plugin junos-tcp-svr-emul: action: none] SourceIP:5.0.0.1 DestIP:4.0.0.1 Source Port:40281 Dest Port:443 source interface:ge-0/0/1.0 Destination interface:ge-0/0/0.0 source zone:untrust destination Zone:trust

Significado

El resultado del comando muestra los detalles de la sesión denegada/caída. Puede usar la salida del comando para comprender el problema por el que se ha caído la sesión.

external-footer-nav