CSR généré avec « Bloquer l’exportation de clé privée » coché permet « Exporter la clé privée » lorsque le certificat signé est réimporté

• CSR (Demande de signature de certificat) est généré le Panorama avec la case « Bloquer l’exportation de clé privée » cochée.
• Une fois que le a été signé par un CAet que le CSR certificat est réimporté dans Panorama, nous voyons que la clé privée est exportable.

• Palo Alto Firewall ou Panorama.
• PanOS 10.0.5

La fonctionnalité « Bloquer l’exportation de clé privée » pour les demandes de signature de certificat (CSR) générées à partir de PAN-OS signatures par un tiers et réimportées dans n’est pas disponible dans la version 10.0 et sera ajoutée dans PAN-OS PAN-OS les versions futures. ETAn’a pas encore été décidée.

Les étapes suivantes constituent la solution de contournement permettant d'activer « bloquer l'exportation de clé privée » pour le Panorama (ou Firewall) généré CSR qui est signé par un CA.

1. Générer un CSR certificat sur l'appareil avec l'option « Bloquer la clé privée » activée
2. Exporter le certificat
3. Faites signer le certificat par un CA
4. Réimporter le certificat portant le même nom
5. Exporter à nouveau le certificat avec la clé privée
6. Maintenant, réimportez le certificat avec le même nom, mais cette fois, assurez-vous de cocher « bloquer la clé privée » sur le certificat
7. Le certificat importé aura la clé privée bloquée et vous devriez pouvoir exporter la clé plus.