So generieren Sie ein Zertifikat und lassen es mit einem Zertifikat signiert werden CA XML API
13399
Created On 12/04/19 04:17 AM - Last Modified 06/29/23 03:07 AM
Objective
Dieser Artikel enthält XML API das Generieren eines Benutzer-/Serverzertifikats und die Signierung durch ein CA Zertifikat in Palo Alto Networks firewall .
Environment
In Szenarien, in denen der Administrator mehrere Benutzer-/Serverzertifikate generieren muss, kann der API in einem Skript verwendet werden, um den Prozess der Zertifikatgenerierung zu automatisieren.
Als Voraussetzung ist ein CA Zertifikat für die firewall erforderlich.
Im folgenden Beispiel wird test- zum Signieren von CA CA Benutzer-/Serverzertifikaten verwendet:
Procedure
Der API Aufruf, der zum Generieren eines Zertifikats mit dem Namen "test-server" und dessen Signierung durch ein CA Zertifikat "test-" benötigt CA wird, lautet wie folgt:
https://x.x.x.x/api/?type=op&cmd=<request><certificate><generate><certificate-name>Testserver-Testserver</certificate-name><name></name><algorithm> RSA ><rsa-nbits>2048</rsa-nbits> RSA ></algorithm><digest>sha256</digest><ca>kein</ca><signed-by>test- CA </signed-by></generate></certificate></request>&key=api-key
Nach einem erfolgreichen Ausführungsbrowser wird eine Ausgabe ähnlich wie folgt zurückgegeben: Auf der wird auch eine Kette des
WEB GUI Zertifikats
angezeigt: Die Digest- und rsa-nbits-Werte können je nach Geschäftsanforderungen geändert werden.
Um das Benutzer-/Serverzertifikat im pkcs12-Format mit Passphrase zu exportieren, verwenden Sie die folgende API Option:
https://x.x.x.x/api/?type=export&category=certificate&certificate-name=test-server&format=pkcs12&include-key=yes&passphrase=passphrase-value&key=api-key
Additional Information
Um den Schlüssel (im vorherigen Abschnitt als api-key bezeichnet) zum Ausführen der obigen APIs zu erhalten, verwenden Sie die folgende Abfrage:
https://x.x.x.x/api/?type=keygen&user=xxxxx&password=xxxxx
Erfolgreiche Ausführung stellt den Schlüssel in einer Ausgabe ähnlich wie API unten bereit: