NGFW服务模块TLS由于握手失败或证书验证错

误而中止错误目录简介先决条件要求使用的组件背景信息问题解决方案问题解决方案相关信息简介本文档介绍如何通过启用解密的思科下一代防火墙(NGFW)服务模块对基于HTTPS的网站访问进行故障排除.
先决条件要求Cisco建议您了解以下主题:安全套接字层(SSL)握手过程qSSL证书q使用的组件本文档中的信息基于思科NGFW服务模块(带思科Prime安全管理器(PRSM)版本9.
2.
1.
2(52)).
本文档中的信息都是基于特定实验室环境中的设备编写的.
本文档中使用的所有设备最初均采用原始(默认)配置.
如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响.
背景信息解密功能使NGFW服务模块能够解密SSL加密流(并检查其他加密的会话)并对流量实施策略.
要配置此功能,管理员必须在NGFW模块上配置解密证书,该证书将呈现给客户端访问基于HTTPS的网站,而不是原始服务器证书.
为了使解密工作正常,NGFW模块必须信任服务器提供的证书.
本文档介绍当NGFW服务模块与服务器之间的SSL握手失败时的场景,当您尝试访问某些基于HTTPS的网站时,这些场景会导致这些网站失败.
在本文档中,这些策略在带有PRSM的NGFW服务模块上定义:身份策略:没有已定义的身份策略.
q解密策略:Decrypt-All策略使用以下配置:q访问策略:没有已定义的访问策略.
q解密设置:本文档假定在NGFW服务模块上配置了解密证书,并且客户端信任该证书.
q当解密策略在NGFW服务模块上定义并按照前面所述进行配置时,NGFW服务模块会尝试拦截通过该模块的所有SSL加密流量并进行解密.
注意:有关此过程的分步说明,请参阅ASACX和CiscoPrimeSecurityManager9.
2用户指南的"解密的流量"部分.
此图显示事件的顺序:在此映像中,A是客户端,B是NGFW服务模块,C是HTTPS服务器.
对于本文档中提供的示例,基于HTTPS的服务器是思科自适应安全设备(ASA)上的思科自适应安全设备管理器(ASDM).