如何安装由公共签名的链式证书 CA
369827
Created On 09/25/18 20:40 PM - Last Modified 03/26/21 17:03 PM
Symptom
在配置 Palo Alto 网络下一代时 Firewall ,可能需要由值得信赖的公共证书管理局 () 签署的证书 CA :
- 俘虏门户 CP ("")页面
- 响应页
- GlobalProtect GP("")门户
许多公共 CA 使用链式证书,即不是由 Root 本身签名的证书 CA ,而是一个或多个中级 CA。 这些通常由相同的拥有和经营 CA ,但如果出现问题,则具有 CA 这种灵活性和撤销的便利性。
Environment
- PAN-OS 7.1及以上。
- 任何帕洛阿尔托 Firewall 。
- 任何 Panorama .
Resolution
申请证书
根据在" PAN-OS firewall CSR 打开"等第三方程序上安装的版本,可能需要生成一个私钥。
如果使用 PAN-OS 7.1 及以上,请参阅 如何生成 CSR (证书签名请求)和导入已签名证书
- 创建组合证书
当证书未由 Root 签署时 CA ,中间 CA 应发送给客户,以防这些客户在其信任的关键商店中已经没有中间 CA。 为此,由签名证书(等)组成的组合证书 CP GP ,然后是中间的 CA。 下面的图像显示两个,但相同的过程仅适用于一个中间 CA 或几个。
要获得每个这些证书:
- 打开"服务器证书"文件发送的 CA 。
- 在 Windows 中,证书对话框中有三个选项卡: 一般、 详情和证书路径。
- 单击证书路径并单击证书上面底部的一个步骤。
- 打开该证书并单击详细信息选项卡,然后复制到文件。
- 将文件保存为基础-64编码 X 。509(。) CER 格式化证书。
- 做相同的顶级 (根) 除了链中的所有证书。
- 打开每个证书。 CER 纯文本编辑器中的文件(如记事本)。
- 粘贴每个证书端到端,与顶部和下面的每个签名服务器证书。
- 将文件保存为 TXT ""。或 CER "。文件
注: 文件的名称不能包含空格,因为这可能导致导入失败。
- 导入证书
采取合并证书,并导入它 firewall 。
解决 方案
如果您无法生成新的 CSR 证书,但仍需要导出证书,请尝试以下步骤:
- 导出当前出口的证书 Firewall 、 PEM 格式和私钥。
- 在文本编辑器中打开证书。
- 分开 (正在小心,不要添加任何空格) 的两个单独的文本文件中的私钥的公钥。
- 保存私人密钥文本文件并保持它放在一边。
- 编辑公共密钥所在的文件,并在顶部使用公钥,并在它下面添加中间体 CA ,就像在 url 共享的一样,并保存文件。
- 删除已在 firewall 。
- 导入与编辑的证书的私钥。