Wie man Verschlüsselung auf HA1 in hoch Verfügbarkeits Konfigurationen aktiviert

Wie man Verschlüsselung auf HA1 in hoch Verfügbarkeits Konfigurationen aktiviert

76825
Created On 09/25/18 17:52 PM - Last Modified 03/29/23 09:56 AM


Resolution


Übersicht

Dieses Dokument beschreibt, wie man Verschlüsselung auf HA1 Verkehr zwischen zwei Palo Alto Networks Firewalls aktivieren kann.

 

Schritte

Jedes Palo Alto Networks firewall verfügt über einen eigenen Hochverfügbarkeits-Schlüssel, der zum Verschlüsseln von HA1-Datenverkehr verwendet werden kann. Bevor die Verschlüsselung aktiviert werden kann, muss der Schlüssel von PA1 exportiert und in PA2 importiert werden. Auch der PA2-Schlüssel muss exportiert und in PA1 importiert werden. Nachdem die Schlüssel importiert wurden, besteht der letzte Schritt darin, dass jeder den firewall Schlüssel des Peers explizit DSA akzeptiert. Dieser Vorgang kann nur über die durchgeführt CLI werden.

 

  1. Export Key auf PA1.

    Aus dem CLI :

    > scp-Export-Hochverfügbarkeitsschlüssel von HA- Key-0009C100762 nach user@server_ip:/-verzeichnis

     

    Aus dem GUI :

    Original. png

  2. Import-Schlüssel auf PA2.

    CLIVon:

    > scp importieren Hochverfügbarkeits-Schlüssel aus user@server_ip:/directory/ HA- key-0009C100762

     

    GUIVon:

    Screenshot 2016-02-03 um 9.21.01 Uhr. png 

  3. WiederHolen Sie die Schritte 1 und 2 oben, exportieren Sie aber den Schlüssel von PA2 und importieren Sie in PA1.
  4. Aktivieren Sie die Verschlüsselung und führen Sie eine Übergabe auf beiden Geräten durch.
    BildschirmFoto 2013-03-29 bei 10.04.41. png
  5. Um den RSA Schlüsselaustausch zwischen Knoten zu HA abschließen, greifen Sie von jedem Knoten und dem Peer auf den CLI SSH Knoten zu. Wenn Sie aufgefordert werden, das Token zu RSA installieren, geben Sie ja ein.

Zum Beispiel:

1.1.1.1 < HA Peer MGT IP Interface-Adresse.

admin@ PA-3050 > ssh Host 1.1.1.1

Die Echtheit von Host ' 1.1.1.1 (1.1.1.1) ' kann nicht festgestellt werden.

DSA Schlüssel-Fingerabdruck ist e9:de:76:fb:db:95:98:7d:c8:45:c4:83:dc:35:f1:2b.

Sind Sie sicher, dass Sie weiter verbinden wollen (Ja/Nein)? Ja

Warnung: '1.1.1.1' ( DSA ) wurde dauerhaft zur Liste der bekannten Hosts hinzugefügt.

das Passwort von admin @ 1.1.1.1:

 

Weitere Infos

 

  • Wenn Sie Probleme mit dem Schlüssel haben oder ihn einfach erneuern möchten, verwenden Sie den folgenden CLI Befehl.
Note: Please be aware that this command will cause the firewall to reboot automatically.



> debug system ssh-key-reset high-availability

Executing this command will reset the high-availability SSH keys and reboot the system. Do you want to continue? (y or n)

Broadcast message from root (Fri Mar 29 10:10:28 2013):

The system is going down for reboot NOW!
 
  • Nach dem Ausführen des Befehls müssen die Schlüssel zwischen den beiden Geräten mithilfe der SCP Export-/Importbefehle oder über die nach dem Neustart des Geräts erneut synchronisiert werden. GUI

Inhaber: rvanderveken
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClLgCAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language