如何生成新的自签名 SSL 证书

• 如果您不想将自己的证书加载到设备中或使用默认的自签名证书，则可以通过 Web 界面生成新的自签名证书。 CLI
• 此新的自签名证书可用于 SSL 解密或 GlobalProtect 门户或网关证书。

• PAN-OS 7.1及以上。
• 帕洛阿尔托 Firewall .
• 自签名证书生成。

步骤

1. 从 WebGUI, 导航到设备 > 证书。
2. 单击生成在屏幕的底部。
3. 输入证书所需的详细信息。 此处输入的详细信息是用户使用 CA 浏览器查看加密会话的证书时看到的内容。

注：如果希望证书的有效期超过 365 天（1 年），请在创建证书之前将"过期（天）"从 365 更改为较大的值。

4. 在 "生成证书" 窗口中, 单击 "生成":

证书已成功生成

5. 要验证是否正确创建了证书, 请单击新生成的证书。

注意： 如果使用此证书进行 SSL 解密，则使用"远期信托证书"和"远期不信任证书"选项。 使用不同的证书作为"转发信任证书"和"转发不信任证书"非常重要。 原因是，否则，即使服务器出示了无效证书，主机也始终会收到他们信任的 firewall 证书。 为了简单起见，下面显示了两个选择。

要删除或删除证书，请取消选中这两个选项，否则将生成错误。

6. 提交 更改。 提交操作完成后， CA 将安装自签名证书。

有关命令的其他信息 CLI ，请参阅本文：

从 CLI