CSR 选中“阻止私钥导出”生成的签名证书重新导入时允许“导出私钥”

CSR 选中“阻止私钥导出”生成的签名证书重新导入时允许“导出私钥”

10259
Created On 07/27/21 12:45 PM - Last Modified 04/22/24 20:29 PM


Symptom


  • CSR (证书签名请求)生成于Panorama选中“阻止私钥导出”框。
  • 之后CSR已被签署CA, 并且证书被重新导入到Panorama,我们看到私钥是可导出的。
CSR 使用 Block Private Key Export 创建允许导出签名证书的密钥


笔记:帕洛阿尔托防火墙上的行为也相同。

Environment


  • 帕洛阿尔托Firewall或者Panorama.
  • PanOS 10.0.5

Cause


从生成的证书签名请求 (CSR) 的“阻止私钥导出”功能PAN-OS由第三方签署并重新导入PAN-OS不可用PAN-OS10.0 并将在未来的版本中添加。 ETA尚未决定。

 

Resolution


以下步骤是为Panorama(或者Firewall) 产生CSR由 a 签署CA.

  1. 生成一个CSR启用“阻止私钥”的设备上的证书
  2. 导出证书
  3. 获取由 a 签名的证书 CA
  4. 使用相同的名称将证书导回
  5. 再次导出证书和私钥
  6. 现在用相同的名称导入证书,但这次确保您检查证书上的“阻止私钥”
  7. 导入的证书将阻止私钥,您应该可以再导出密钥。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000001VyDCAU&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language