CSR generiert mit aktiviertem Kontrollkästchen "Export des privaten Schlüssels blockieren" ermöglicht "Privaten Schlüssel exportieren", wenn das signierte Zertifikat wieder importiert wird

• CSR (Certificate Signing Request) wird generiert Panorama , wenn das Kontrollkästchen "Export des privaten Schlüssels blockieren" aktiviert ist.
• Nachdem der von einem signiert CAwurde, und das Zertifikat erneut in Panoramaimportiert wurde, sehen wir, dass der CSR private Schlüssel exportierbar ist.

• Palo Alto Firewall oder Panorama.
• PanOS 10.0.5

Die Funktion "Export privater Schlüssel blockieren" für Zertifikatsignieranforderungen (Certificate Signing Requests, CSRs), die von PAN-OS einem Drittanbieter signiert und wieder importiert PAN-OS werden, ist in Version 10.0 nicht verfügbar und wird in PAN-OS zukünftigen Versionen hinzugefügt. ETAmuss noch entschieden werden.

Die folgenden Schritte sind die Problemumgehung, um den Export des privaten Schlüssels blockieren für den generierten (oder Firewall) zu aktivieren, der Panorama von einer CA.CSR

1. Generieren Sie ein CSR Zertifikat auf dem Gerät mit aktiviertem "Privaten Schlüssel blockieren"
2. Exportieren des Zertifikats
3. Holen Sie sich das Zertifikat, das von einem CA
4. Importieren Sie das Zertifikat mit demselben Namen wieder
5. Exportieren Sie das Zertifikat zusammen mit dem privaten Schlüssel erneut
6. Importieren Sie nun das Zertifikat mit demselben Namen zurück, aber stellen Sie dieses Mal sicher, dass Sie "privaten Schlüssel blockieren" auf dem Zertifikat aktivieren
7. Der private Schlüssel des importierten Zertifikats wird blockiert und Sie sollten den Schlüssel nicht mehr exportieren können.