Comunicación segura del servidor Panorama (y log-collector)
Personalizado SSL / TLS perfiles
- Los administradores tendrán control total sobre los SSL cifrados y los certificados utilizados por el Panorama servidor /Log-Collector para las SSL conexiones al comunicarse con los clientes
- Panorama/Log-Collector puede validar el certificado por configuración de perfil de certificado al aceptar conexiones de clientes firewall (, Log-Collector o su par de alta disponibilidad)
- Panorama/Log-Collector puede comprobar el estado de los certificados a través / OCSP cuando se configura en el perfil del CRL certificado, y terminar las conexiones si el certificado ha caducado o revocado
Autenticación de cliente
- Habilitar la opción "Solo certificado personalizado" hará que Panorama /Log-Collector rechace las conexiones de los clientes que ejecutan Pan-OS 7.1 y versiones anteriores. Estos dispositivos presentarán un certificado precargado predeterminado al conectarse al Panorama recopilador de registros.
- La autenticación del cliente puede ser afinada con la lista de autorización.
- La lista de autorización tendría sujeto, tema Alt nombre. El tipo de valor de sujeto puede ser una IP dirección o un nombre de dominio. El nombre alternativo del asunto puede tener tipos como correo electrónico, nombre de dominio, IP dirección.
- Los clientes también pueden ser autenticados a través de números de serie.
Comunicación segura con el cliente Firewall (, LC clientes, Panorama HA cliente)
- Los usuarios pueden seleccionar el certificado de cliente que presentará el cliente al comunicarse con los Panorama servidores /Log-Collector. Este certificado de cliente puede residir localmente o se puede importar a través de SCEP perfil.
- Perfil de certificado se utiliza para validar el certificado presentado por el Panorama servidor /Log-Collector. Si OCSP CRL / está configurado, los clientes comprobarán el estado de los certificados a través de estos métodos y terminarán la conexión si el certificado se revoca/caduca.
La parte de configuración del lado cliente se realiza a través del espacio de comunicación segura del cliente. Dado que firewalls, Panorama cliente de alta disponibilidad, cliente log-collector puede actuar como clientes en varios casos, este espacio de configuración está disponible en todos estos dispositivos
Activado: Firewall Configuración > Administración> Configuración Panorama > Comunicación
segura del cliente
En Panorama HA cliente : > altadisponibilidad Panorama >Setup
En log collector client: Panorama > recopiladores administrados > comunicación > comunicación segura del cliente
Solución de problemas
- El sistema inicia sesión en el Firewall y se puede utilizar para solucionar problemas de Panorama MGMT SSL conexión.
Panorama Registros del sistema
Firewall Registros del sistema
- A nueva columna denominada certificado se introduce en Dispositivos administrados en Panorama la que se indica el estado del certificado de cliente presentado por los clientes.
A continuación se enumera una posible lista de mensajes para la columna Estado del certificado:
- Implementado: el cliente utiliza un certificado personalizado que pasa la comprobación del perfil de certificado
- Pre-definido-cliente está utilizando un certificado pre-definido
- Error de validación de certificado: el cliente falló la comprobación del perfil de certificado en el servidor.
- Error de comprobación de identidad de cliente: fallo del certificado de cliente la lista de autenticación comprueba en el servidor
- Ningún mensaje – el cliente pasó todas las comprobaciones del lado del servidor. El CERT del servidor pudo haber fallado los cheques hechos en el lado del cliente