Mit nativen Microsoft-Tools, um Zertifikate für Palo Alto Networks Firewalls anzufordern
Resolution
Microsoft stellt ein Tool zur Verfügung, Certreq. exe, mit seinem Zertifikats Server, um Zertifikats Unterschriften Anfragen (CSR) an einen Microsoft-Zertifikats Server zu erstellen und einzureichen. Diese Werkzeuge können anstelle von OpenSSL für Umgebungen verwendet werden, die eine Microsoft CA verwenden. Die Befehle können von jedem Domain-Mitglieds System verwendet werden.
- Certreq benötigt eine. inf-Datei, um Zertifikatsinformationen bereitzustellen. Verwenden Sie Notepad, um die folgende Beispiel-INF-Datei nach Ihren Bedürfnissen zu ändern. Speichern Sie die Datei als SSL. inf, zum Beispiel:
VErsion
Signatur = "$Windows NT $"
[newrequest]
Betreff = "CN = your. Server. Name"; Für eine Wildcard verwenden Sie "CN = *. Domain.com "zum Beispiel
; Für ein leeres Subjekt verwenden Sie stattdessen die folgende Zeile oder entfernen Sie die Betreffzeile verführerisch
; Subjekt =
Exportfähig = wahr ; Privater Schlüssel ist exportfähig!
Keylength = 2048 ; Gängige Schlüsselgrößen: 512, 1024, 2048,
4096, 8192, 16384
KeySpec = 1 ; AT_KEYEXCHANGE
Keyuse = 0xa0 ; Digitale Signatur, Schlüssel-Encipherment
Machinekeyset = wahr ; Der Schlüssel gehört dem lokalen Computer Konto
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
SMIME = false
RequestType = CMC
; Mindestens Certreq. exe Versand mit Windows Vista/Server 2008 ist erforderlich, um
interpretieren Sie die Abschnitte [Strings] und [Extensions] unten
SAiten
szOID_SUBJECT_ALT_NAME2 = "2.5.29.17"
szOID_ENHANCED_KEY_USAGE = "2.5.29.37"
szOID_PKIX_KP_SERVER_AUTH = "1.3.6.1.5.5.7.3.1"
szOID_PKIX_KP_CLIENT_AUTH = "1.3.6.1.5.5.7.3.2"
ERweiterungen
% szOID_SUBJECT_ALT_NAME2% = "{Text} DNS = Ihr. Computer. Name"% szOID_ENHANCED_KEY_USAGE% = "{Text}% szOID_PKIX_KP_SERVER_AUTH%,% szOID_PKIX_KP_CLIENT_AUTH%"
[requestattributes]
Certificatetemplate = Webserver; oder = subca für SSL-D oder CA-Zertifikate
Hinweise:
- Sie können auf "OK" klicken für die Vorlage nicht gefunden UI von Certreq, wenn der Client keinen Zugriff auf Vorlagen hat.
- Sie können den nicht referenzierten "[Strings]"-Abschnitt-Dialog ignorieren, wenn er erscheint.
- Kompilieren Sie die INF-Datei in eine REQ-Datei.
Der folgende Befehlszeilen Befehl generiert Schlüsselmaterial und macht die INF-Datei in eine Zertifikatsanfrage.
Certreq – New SSL. inf SSL. req
Nachdem die Zertifikatsanfrage erstellt wurde, können Sie die Anfrage mit folgendem Befehl überprüfen:
certutil SSL. req
- Senden Sie die REQ-Datei an die ca.
Wenn die ca über RPC über das Netzwerk erreichbar ist, verwenden Sie den folgenden Befehl, um die Zertifikatsanfrage an die ca zu senden:
Certreq – Submit SSL. req
Sie erhalten einen Auswahldialog, von dem aus Sie die ca auswählen. Wenn die ca so konfiguriert ist, dass Sie Zertifikate auf der Grundlage der Vorlagen-Einstellungen ausstellen, kann die ca das Zertifikat sofort ausstellen. Sie werden aufgefordert, die Datei herunterzuladen und zu benennen. In diesem Beispiel nennen wir es SSL. CER
Wenn der RPC-Verkehr zwischen dem Computer, auf dem die Zertifikatsanfrage erstellt wurde, und der ca nicht erlaubt ist, übertragen Sie die Zertifikatsanfrage an die ca und führen Sie den obigen Befehl lokal an der ca aus.
- Installieren Sie das Zertifikat im lokalen Browser.
Nachdem das Zertifikat ausgestellt und als Datei verfügbar ist, verwenden Sie den folgenden Befehl, um es zu installieren.
Certreq – akzeptieren SSL. CER
Die Installation stellt das Zertifikat tatsächlich in den persönlichen Laden des Computers, verknüpft es mit dem in Schritt 1 erstellten Schlüsselmaterial und baut die Zertifikats Eigenschaft auf. Das Zertifikats Eigentum speichert Informationen, wie zum Beispiel den freundlichen Namen, der nicht Teil eines Zertifikats ist.
Nach der Ausführung der Schritte 1 bis 4 erscheint das Zertifikat in der IE-Zertifikate-Schnittstelle und kann im PKCS-12-Format exportiert werden, um in die Firewall zu importieren.
Besitzer: npiagentini