Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
如何安装由公共签名的链式证书 CA - Knowledge Base - Palo Alto Networks

如何安装由公共签名的链式证书 CA

369827
Created On 09/25/18 20:40 PM - Last Modified 03/26/21 17:03 PM


Symptom


在配置 Palo Alto 网络下一代时 Firewall ,可能需要由值得信赖的公共证书管理局 () 签署的证书 CA :

  • 俘虏门户 CP ("")页面
  • 响应页
  • GlobalProtect GP("")门户

许多公共 CA 使用链式证书,即不是由 Root 本身签名的证书 CA ,而是一个或多个中级 CA。 这些通常由相同的拥有和经营 CA ,但如果出现问题,则具有 CA 这种灵活性和撤销的便利性。



Environment


  • PAN-OS 7.1及以上。
  • 任何帕洛阿尔托 Firewall 。
  • 任何 Panorama .


Resolution


  1. 申请证书

根据在" PAN-OS firewall CSR 打开"等第三方程序上安装的版本,可能需要生成一个私钥。

如果使用 PAN-OS 7.1 及以上,请参阅 如何生成 CSR (证书签名请求)和导入已签名证书

 

  1. 创建组合证书

当证书未由 Root 签署时 CA ,中间 CA 应发送给客户,以防这些客户在其信任的关键商店中已经没有中间 CA。 为此,由签名证书(等)组成的组合证书 CP GP ,然后是中间的 CA。 下面的图像显示两个,但相同的过程仅适用于一个中间 CA 或几个。

Cert_Chain_markup.png

 

要获得每个这些证书:

  • 打开"服务器证书"文件发送的 CA 。
  • 在 Windows 中,证书对话框中有三个选项卡: 一般、 详情和证书路径。
  • 单击证书路径并单击证书上面底部的一个步骤。
  • 打开该证书并单击详细信息选项卡,然后复制到文件。
  • 将文件保存为基础-64编码 X 。509(。) CER 格式化证书。
  • 做相同的顶级 (根) 除了链中的所有证书。
  • 打开每个证书。 CER 纯文本编辑器中的文件(如记事本)。
  • 粘贴每个证书端到端,与顶部和下面的每个签名服务器证书。
  • 将文件保存为 TXT ""。或 CER "。文件
    注: 文件的名称不能包含空格,因为这可能导致导入失败。
  1. 导入证书

采取合并证书,并导入它 firewall 。

 

解决 方案

如果您无法生成新的 CSR 证书,但仍需要导出证书,请尝试以下步骤:

  1. 导出当前出口的证书 Firewall 、 PEM 格式和私钥。
  2. 在文本编辑器中打开证书。
  3. 分开 (正在小心,不要添加任何空格) 的两个单独的文本文件中的私钥的公钥。
  4. 保存私人密钥文本文件并保持它放在一边。
  5. 编辑公共密钥所在的文件,并在顶部使用公钥,并在它下面添加中间体 CA ,就像在 url 共享的一样,并保存文件。
  6. 删除已在 firewall 。
  7. 导入与编辑的证书的私钥。

 

 



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClkoCAC&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language