• 管理员在与 SSL Panorama 客户进行通信时将完全控制/Log-收集器服务器用于连接的密码和证书 SSL

• Panorama/日志收集器在接受客户端 firewall （、日志收集器或其高可用性同行）的连接时，可以验证每个证书配置文件配置的证书
• Panorama/Log-收集器可以通过 OCSP / CRL 当配置在证书配置文件中时检查证书状态，并在证书过期或撤销时终止连接

客户端身份验证

• 启用"仅限自定义证书"选项将导致 Panorama /日志收集器 拒绝运行 Pan-OS 7.1 和更早的客户端的连接。 连接到日志收集器时，这些设备将显示默认预加载证书 Panorama 。

• 可以通过授权列表进一步微调客户端身份验证。
• 授权列表将具有主题、主题 Alt 名称。 主题值类型可以是 IP 地址或域名。 主题 Alt 名称可以具有电子邮件、域名、地址等类型 IP 。
• 客户端也可以通过序列号进行身份验证。

安全的客户沟通 Firewall （， LC 客户， Panorama HA 客户）

• 用户可以在与 Panorama /Log-收集服务器通信时选择客户端证书。 此客户证书可以本地居住，也可以通过 SCEP 配置文件导入。
• 证书配置文件用于验证 Panorama /日志收集服务器提供的证书。 如果 OCSP / CRL 配置，则客户将通过这些方法检查证书的状态，如果证书被撤销/过期，将终止连接。

客户端配置部分是通过 安全客户端通信 空间完成的。 由于防火墙、 Panorama 高可用性客户端、Log-Collector 客户端可以在各种情况下充当客户端，因此此配置空间可在所有这些设备上使用

开 Firewall启： 设置>管理> Panorama 设置>安全 的客户端 通信

客户 Panorama HA 端 Panorama ：>高可用性>设置

在日志收集器客户端 Panorama ：>管理收集器>通信>安全客户端通信

故障 排除

• 系统登录 Firewall 并 Panorama 可用于故障排除 MGMT SSL 连接问题。

Panorama 系统日志

Firewall 系统日志

• A 新的列称为证书是在管理设备下引入 Panorama 的，该列指示客户提交的客户证书的状态。

以下是证书状态列的可能消息列表:

• 已部署–客户端正在使用通过证书配置文件检查的自定义证书
• 预定义客户端使用预定义的证书
• 证书验证错误–客户端在服务器上的证书配置文件检查失败。
• 客户端标识检查错误–客户端证书在服务器上的身份验证列表检查失败
• 没有 message–客户端通过服务器端的所有检查。 服务器证书可能在客户端上执行的检查失败