Cómo habilitar el cifrado en HA1 en configuraciones de alta disponibilidad

Cómo habilitar el cifrado en HA1 en configuraciones de alta disponibilidad

76811
Created On 09/25/18 17:52 PM - Last Modified 03/29/23 09:56 AM


Resolution


Visión general

Este documento describe cómo habilitar el cifrado en el tráfico HA1 entre dos cortafuegos de Palo Alto Networks.

 

Pasos

Cada Palo Alto Networks firewall tiene su propia clave de alta disponibilidad que se puede utilizar para cifrar el tráfico HA1. Antes de poder habilitar el cifrado, la clave debe exportarse desde PA1 e importarse a PA2. La clave PA2 también debe exportarse e importarse a PA1. Después de importar las claves, el paso final es que cada una firewall acepte explícitamente la clave de su DSA par. Esta operación solo se puede realizar a través del CLI archivo .

 

  1. Exportar clave en PA1.

    Desde el CLI :

    > scp exportar clave de alta disponibilidad desde HA- key-0009C100762 a user@server_ip:/directory

     

    Desde el GUI :

    original. png

  2. Importar clave en PA2.

    Desde CLI :

    > scp importar clave de alta disponibilidad desde user@server_ip:/directory/ HA- key-0009C100762

     

    Desde GUI :

    Screen Shot 2016-02-03 en 9.21.01 AM. png 

  3. Repita los pasos 1 y 2 anteriores, pero exporte la clave de PA2 e importe a PA1.
  4. Habilite el cifrado y realice una confirmación en ambos dispositivos.
    Screen Shot 2013-03-29 en 10.04.41. png
  5. Para finalizar el RSA intercambio de claves entre HA nodos, acceda al CLI de cada nodo y al mismo SSH nivel. Cuando se le pida que instale el RSA token, escriba yes.

Por ejemplo:

1.1.1.1 < HA Dirección de interfaz del mismo MGT IP nivel.

admin@ > PA-3050 ssh host 1.1.1.1

No se puede establecer la autenticidad del host ' 1.1.1.1 (1.1.1.1) '.

DSA la huella digital clave es e9:de:76:fb:db:95:98:7d:c8:45:c4:83:dc:35:f1:2b.

¿está seguro de que desea continuar la conexión (sí/no)? Sí

Advertencia: Se ha añadido permanentemente '1.1.1.1' ( DSA ) a la lista de hosts conocidos.

contraseña de admin @ 1.1.1.1:

 

Información adicional

 

  • Si tiene problemas con la clave o simplemente desea renovarlos, utilice el siguiente CLI comando.
Note: Please be aware that this command will cause the firewall to reboot automatically.



> debug system ssh-key-reset high-availability

Executing this command will reset the high-availability SSH keys and reboot the system. Do you want to continue? (y or n)

Broadcast message from root (Fri Mar 29 10:10:28 2013):

The system is going down for reboot NOW!
 
  • Después de ejecutar el comando, será necesario resincronizar las claves entre los dos dispositivos mediante los SCP comandos de exportación/importación o a través de los GUI como se explicó anteriormente una vez que se reinicie el dispositivo

propietario: rvanderveken
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClLgCAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language