从 PAN OS 8.0 开始, 我们可以选择在防火墙和用户 ID 代理之间, 在证书的帮助下进行安全通信。
注意:这要求防火墙在 PAN OS 8.0 (或更高版本) 上, 以及用户 ID 代理在 8.0 (或更高版本) 上.
在此过程中, 协会 (用户 ID 代理) 将向防火墙提供证书以进行验证。防火墙将根据配置的证书配置文件检查此证书。如果它通过了证书配置文件中的所有检查, 防火墙将接受来自该协会的连接。这可以确保安全防范 "流氓" UIAs。
下面是一步安装演练, 用于配置以下内容:
1。启动该协会, 您应该会看到一个名为 "服务器证书" 的新选项:
2。我们需要为协会创建一个新的 CSR, 并通过外部 ca、内部 ca 或防火墙中存在的自签名证书来签名。(注意:我们需要在防火墙上存在 CA 证书, 这样我们就可以在证书配置文件中使用它, 并验证该证书).
3。一旦我们有了证书, 我们就可以将它连同私钥一起导入到律师协会。请确保提交配置.
4。创建新的证书配置文件, 并使用用于签署律师协会 CSR 的 CA。
5。您应该在 "设备 >> 用户标识" 下看到一个新选项卡, 称为 "连接安全性":
6。选择在步骤4中创建的证书配置文件。
7。如果提交顺利, 您应该看到该协会成功地与防火墙连接。
失败方案
如果在防火墙上启用了连接安全性的情况下, 在该律师协会上存在不正确或没有证书, 您将在系统 (和用户 id) 日志中看到以下日志项:
对于相同的故障, 在代理上, 您将看到以下日志 (监视->> 日志):
希望这有帮助。保持安全!