Uso de herramientas nativas de Microsoft para solicitar certificados para los cortafuegos de Palo Alto Networks
Resolution
Microsoft proporciona una herramienta, CertReq. exe, con su servidor de certificados, para crear y enviar solicitudes de firma de certificados (CSR) a un servidor de certificados de Microsoft. Estas herramientas se pueden utilizar en lugar de OpenSSL para entornos que utilicen Microsoft CA. Los comandos se pueden utilizar desde cualquier sistema de miembros de dominio.
- CertReq requiere un archivo. inf para proporcionar información de certificado. Utilice el Bloc de notas para modificar el siguiente archivo INF de ejemplo según sus necesidades. Guarde el archivo como SSL. inf, por ejemplo:
vErsión
Signature = "$Windows NT $"
[NewRequest]
Subject = "CN = Your. Server. Name"; Para un uso comodín "CN = *. DOMAIN.com "por ejemplo
; Para un tema vacío utilice la línea siguiente en su lugar o elimine la línea de asunto entierly
; Tema =
Exportable = true ; ¡ la llave privada es exportable!
KeyLength = 2048 ; Tamaños dominantes comunes: 512, 1024, 2048 ,
4096, 8192, 16384
KeySpec = 1 ; AT_KEYEXCHANGE
KeyUsage = 0XA0 ; Firma digital, cifrado clave
MachineKeySet = true ; La clave pertenece a la cuenta de equipo local
ProviderName = "proveedor criptográfico de Microsoft RSA Schannel"
ProviderType = 12
SMIME = false
RequestType = CMC
; Por lo menos el envío de CertReq. exe con Windows Vista/Server 2008 se requiere para
interprete las secciones [Strings] y [extensions] a continuación
cAdenas
szOID_SUBJECT_ALT_NAME2 = "2.5.29.17"
szOID_ENHANCED_KEY_USAGE = "2.5.29.37"
szOID_PKIX_KP_SERVER_AUTH = "1.3.6.1.5.5.7.3.1"
szOID_PKIX_KP_CLIENT_AUTH = "1.3.6.1.5.5.7.3.2"
eXtensiones
% szOID_SUBJECT_ALT_NAME2% = "{Text} DNS = su. Computer. Name"% szOID_ENHANCED_KEY_USAGE% = "{texto}% szOID_PKIX_KP_SERVER_AUTH%,% szOID_PKIX_KP_CLIENT_AUTH%"
[RequestAttributes]
CertificateTemplate = WebServer; or = SubCA para certificados SSL-D o CA
Notas:
- Puede hacer clic en "Aceptar" para la interfaz de usuario no encontrada de la plantilla de CertReq si el cliente no tiene acceso a las plantillas.
- Puede ignorar el diálogo de la sección "[Strings]" no referenciado cuando aparezca.
- Compile el archivo INF en un archivo req.
El siguiente comando ‐ línea de comandos genera material clave y convierte el archivo INF en una solicitud de certificado.
CertReq – nuevo SSL. inf SSL. req
Una vez creada la solicitud de certificado, puede verificar la solicitud con el siguiente comando:
certutil SSL. req
- Envíe el archivo req a la CA.
Si se llega a la CA a través de RPC a través de la red, utilice el siguiente comando para enviar la solicitud de certificado a la entidad emisora de certificados:
CertReq – enviar SSL. req
You'lll obtener un cuadro de diálogo de selección para seleccionar la CA. Si la CA está configurada para emitir certificados basándose en la configuración de la plantilla, la entidad emisora puede emitir el certificado inmediatamente. Se le pedirá que descargue el archivo y lo nombre. En este ejemplo, lo nombraremos SSL. cer
Si no se permite el tráfico RPC entre el equipo donde se creó la solicitud de certificado y la entidad emisora de certificados, transfiera la solicitud de certificado a la entidad emisora de certificados y realice el comando anterior localmente en la CA.
- Instale el certificado en el navegador local.
Una vez emitido el certificado y disponible como archivo, utilice el siguiente comando para instalarlo.
CertReq – aceptar SSL. cer
La instalación realmente coloca el certificado en el almacén personal del equipo, lo vincula con el material clave creado en el paso 1 y construye la propiedad Certificate. La propiedad Certificate almacena información, como el nombre descriptivo, que no forma parte de un certificado.
Después de realizar los pasos 1 a 4, el certificado se muestra en la interfaz de certificados IE y se puede exportar en formato PKCS 12 para su importación en el firewall.
Propietario: npiagentini