Utilisation des outils Microsoft natifs pour demander des certificats pour les pare-feu de Palo Alto Networks

Microsoft fournit un outil, Certreq. exe, avec son serveur de certificats, pour créer et soumettre des demandes de signature de certificat (CSR) à un serveur de certificats Microsoft. Ces outils peuvent être utilisés à la place d'OpenSSL pour les environnements qui utilisent une autorité de certification Microsoft. Les commandes peuvent être utilisées à partir de n'importe quel système membre du domaine.

1. Certreq nécessite un fichier. inf pour fournir des informations de certificat. Utilisez le bloc-notes pour modifier l'exemple de fichier INF suivant selon vos besoins. Enregistrez le fichier en tant que SSL. inf, par exemple:

   VErsion

   Signature = "$Windows NT $"

   [NewRequest]

   Subject = "CN = Your. Server. Name"; Pour une utilisation générique "CN = *. Domain.com "par exemple

   ; Pour un sujet vide, utilisez plutôt la ligne suivante ou supprimez la ligne d'objet

   ; Subject =

   Exportables = true ; La clé privée est exportable!

   KeyLength = 2048 ; Tailles communes de clef: 512, 1024, 2048 ,

   4096, 8192, 16384

   KeySpec = 1 ; AT_KEYEXCHANGE

   KeyUsage = 0xa0 ; Signature numérique, chiffrement clé

   MachineKeySet = true ; La clé appartient au compte d'ordinateur local

   ProviderName = "fournisseur cryptographique Microsoft RSA SChannel"

   ProviderType = 12

   SMIME = false

   RequestType = CMC

    

   ; Au moins Certreq. exe expédition avec Windows Vista/Server 2008 est nécessaire pour

   interpréter les sections [strings] et [extensions] ci-dessous

    

   cHaînes

   szOID_SUBJECT_ALT_NAME2 = "2.5.29.17"

   szOID_ENHANCED_KEY_USAGE = "2.5.29.37"

   szOID_PKIX_KP_SERVER_AUTH = "1.3.6.1.5.5.7.3.1"

   szOID_PKIX_KP_CLIENT_AUTH = "1.3.6.1.5.5.7.3.2"

    

   EXtensions

   % szOID_SUBJECT_ALT_NAME2% = "{Text} DNS = votre. Computer. Name"% szOID_ENHANCED_KEY_USAGE% = "{texte}% szOID_PKIX_KP_SERVER_AUTH%,% szOID_PKIX_KP_CLIENT_AUTH%"

    

   [RequestAttributes]

   CertificateTemplate = serveur Web; ou = Isma pour les certificats SSL-D ou ca

   Remarques :

   • Vous pouvez cliquer sur "OK" pour l'interface utilisateur du modèle introuvable à partir de Certreq si le client n'a pas accès aux modèles.
   • Vous pouvez ignorer la boîte de dialogue de section «[strings]» non référencée lorsqu'elle apparaît.
2. Compilez le fichier INF dans un fichier req.

   La commande de ligne de commande suivante génère le matériel clé et transforme le fichier INF en demande de certificat.

   Certreq-New SSL. inf SSL. req

   Une fois la demande de certificat créée, vous pouvez vérifier la demande à l'aide de la commande suivante:

   certutil SSL. req

3. Soumettez le fichier req à l'autorité de certification.

   Si l'autorité de certification est accessible via RPC sur le réseau, utilisez la commande suivante pour soumettre la demande de certificat à l'autorité de certification:

   Certreq – Submit SSL. req

   Doivent you'lll obtenir une boîte de dialogue de sélection à partir de laquelle sélectionner l'autorité de certification. Si l'autorité de certification est configurée pour émettre des certificats en fonction des paramètres du modèle, l'autorité de certification peut émettre le certificat immédiatement. Vous serez invité à télécharger le fichier et à le nommer. Dans cet exemple, nous allons le nommer SSL. cer

   Si le trafic RPC n'est pas autorisé entre l'ordinateur où la demande de certificat a été créée et l'autorité de certification, transférez la demande de certificat à l'autorité de certification et effectuez la commande ci-dessus localement à l'autorité de certification.

4. Installez le certificat dans le navigateur local.

   Une fois le certificat émis et disponible en tant que fichier, utilisez la commande suivante pour l'installer.

   Certreq – accepte SSL. cer

   L'installation met réellement le certificat dans le magasin personnel de l'ordinateur, le lie avec le matériel de clé créé à l'étape 1 et construit la propriété de certificat. La propriété certificat stocke des informations, telles que le nom convivial, qui ne fait pas partie d'un certificat.

    

   Après avoir effectué les étapes 1 à 4, le certificat apparaît dans l'interface de certificats IE et peut être exporté au format PKCS 12 pour l'importation dans le pare-feu.

propriétaire: npiagentini