如何在高可用性配置中对 HA1 启用加密

概述

本文档介绍如何对两个帕洛阿尔托网络防火墙之间的 HA1 通信启用加密。

步骤

每个帕洛阿尔托网络 firewall 都有自己的高可用性密钥，可用于加密 HA1 流量。 在启用加密之前, 需要从 PA1 导出密钥并将其导入 PA2。 PA2 键还需要导出并导入到 PA1 中。 导入密钥后，最后一步是让每个密钥 firewall 都明确接受其同行的 DSA 密钥。 此操作只能通过 CLI 。

1. 在 PA1 上导出密钥。

   从 CLI ：

   >scp 出口高可用性键从 HA- 密钥-0009C100762 到user@server_ip：目录

    

   从 GUI ：

   

2. 在 PA2 上导入密钥。

   从 CLI ：

   >scp 从user@server_ip：/目录/ HA- 密钥-0009C100762 导入高可用性密钥

    

   从 GUI ：

    

3. 重复上述步骤1和 2, 但从 PA2 导出密钥并导入到 PA1 中。
4. 启用加密并在两个设备上执行提交。
   
5. 要完成 RSA 节点之间的关键交换 HA ，可 CLI 访问每个节点和 SSH 对等点。 当提示安装 RSA 令牌时，键入"是"。

例如：

1.1.1.1 < HA 对等 MGT 界面 IP 地址。

PA-3050admin@>ssh主机1.1.1.1

主机 "1.1.1.1 (1.1.1.1)" 的真实性无法建立。

DSA 关键指纹是 e9：de：76：fb：db：95：98：7d：c8：45：c4：83：直流：35：f1：2b。

是否确实要继续连接 (是/否)？是的

警告：永久将"1.1.1.1"（） DSA 添加到已知主机列表中。

admin@1.1 1.1 的密码:

其他信息

• 如果您对密钥有问题或只想更新它们，请使用以下 CLI 命令。

Note: Please be aware that this command will cause the firewall to reboot automatically.



> debug system ssh-key-reset high-availability

Executing this command will reset the high-availability SSH keys and reboot the system. Do you want to continue? (y or n)

Broadcast message from root (Fri Mar 29 10:10:28 2013):

The system is going down for reboot NOW!

• 运行命令后，需要使用 SCP 进出口命令或在设备 GUI 重新启动后通过先前解释的重新同步两个设备之间的键

所有者： r万德韦肯