CSR generado con la opción "Block Private Key Export" marcada permite "Exportar clave privada" cuando el certificado firmado se vuelve a importar

• CSR (Solicitud de firma de certificado) se genera el con la Panorama casilla "Bloquear exportación de clave privada" marcada.
• Después de que el ha sido firmado por un CA, y el CSR certificado se vuelve a importar en Panorama, vemos que la clave privada es exportable.

• Palo Alto Firewall o Panorama.
• PanOS 10.0.5

La funcionalidad "Bloquear exportación de clave privada" para las solicitudes de firma de certificados (CSR) generadas a partir de PAN-OS firmas firmadas por un tercero y reimportadas a PAN-OS no está disponible en 10.0 y se agregará en PAN-OS futuras versiones. ETAaún no se ha decidido.

Los pasos siguientes son la solución para habilitar 'bloquear la exportación de clave privada' para el Panorama (o Firewall) generado CSR que está firmado por un CAarchivo .

1. Generar un CSR certificado en el dispositivo con 'bloquear clave privada' habilitado
2. Exportar el certificado
3. Obtener el certificado firmado por un CA
4. Volver a importar el certificado con el mismo nombre
5. Exportar el certificado de nuevo junto con la clave privada
6. Ahora vuelva a importar el certificado con el mismo nombre, pero esta vez asegúrese de marcar 'bloquear clave privada' en el certificado
7. El certificado importado tendrá la clave privada bloqueada y debería poder exportar la clave más.