So richten Sie die Einstellung für die sichere Kommunikation für Panorama-firewall Kommunikation ein.
6843
Created On 01/17/22 08:51 AM - Last Modified 09/19/25 02:09 AM
Objective
A Typisch Panorama-firewall Die Kommunikation verwendet vordefinierte Zertifikate und gegenseitige Authentifizierung, um die SSL Verbindung herzustellen.
Bei vordefinierten Zertifikaten kann kein Gerät eine Verbindung zu Panoramaherstellen, wenn das Gerätezertifikat oder das allgemeine CA Zertifikat abläuft.
Wenn ein vorab bereitgestellter selbstsignierter gemeinsamer Stamm CA gefährdet ist, kann ein Angreifer außerdem spoofen.
Sie können die Authentifizierung jedoch stattdessen
mithilfe benutzerdefinierter Zertifikate konfigurieren Mit benutzerdefinierten Zertifikaten können Sie eine eindeutige Vertrauenskette einrichten, um die gegenseitige Authentifizierung zwischen Panorama und den verwalteten Firewalls sicherzustellen.
Environment
Panos über 8.1
Eine aktive panorama Verbindung mit Firewalls.
Procedure
A Der reguläre SSL Verbindungsserver sendet sein Zertifikat zur Authentifizierung an den Client.
Bei gegenseitiger Authentifizierung ist ein Serverzertifikat vom Server und ein Clientzertifikat vom Client vorhanden.
Hier ist in unserem Fall Panorama der Server und firewall ist der Client.
Wenn die vordefinierten Zertifikate verwendet werden, A ist der Befehlsname des Serverzertifikats () das IP oder FQDN desCNpanorama . des Clientzertifikats ist die Seriennummer von Firewall.
CN
Hier sind die Anforderungen für die sichere Kommunikationskonfiguration.
SSL/TLS Leistungsprofil
------------------------------
Verweisen Sie auf das Serverzertifikat auf der und das Clientzertifikat auf der Panorama Firewall.
Definiert auch die Max-Version der TLS Protokollversion.
Das Serverzertifikat und das Zertifikatprofil.
--------------------------------------------------------------
Das Serverzertifikat muss die IP Adresse oder die FQDN Panorama der Verwaltungsschnittstelle haben. Es muss entweder im Feld oder im CN Betreff-Alt-Namen definiert werden.
Das Clientgerät verwendet dieses Feld für die IP Adresse des Panorama zum Überprüfen der Panorama Identität.
Das Zertifikatsprofil dient dazu, den Server für die Clientgeräte zu identifizieren. In dieser Konfiguration kann auf den Stamm CA des Serverzertifikats verwiesen werden.
Die Zertifikatsperrung kann entweder als OCSP oder CRL
Clientzertifikatprofil und Clientzertifikat
konfiguriert werden --------------------------------------------------------------
Clientzertifikatprofil identifiziert den Client gegenüber dem Server panorama.
Ähnlich wie beim Server ist ein Clientzertifikatprofil mit Stammzertifikat CA und optionalem Zertifikatsperrstatus erforderlich.
Das Clientzertifikat kann auf allen verbundenen Firewalls gleich oder eindeutig sein.
Im Gegensatz zu einem Server benötigt ein Clientzertifikat nicht unbedingt die Seriennummer des firewall CN.
A Server- oder Clientzertifikat kann
- Von der Public Key-Infrastruktur Ihres Unternehmens (PKI)
- Kaufen Sie eines von einem vertrauenswürdigen Drittanbieter CA
- Generieren Sie lokal ein selbstsigniertes Zertifikat.
Auf Panorama
------------------------
- Panorama < Einstellungen für die Einrichtung < Verwaltung < sichere Kommunikation.
- Aktivieren Sie Sichere Serverkommunikation anpassen.
- Wählen Sie das für das Serverzertifikat konfigurierte SSL/TLS Dienstprofil aus.
- Wählen Sie das Zertifikatprofil des Serverzertifikats aus.
- Die Autorisierungsliste ist optional. Diese Option überprüft das Clientzertifikat CN oder SAN -feld und seinen Wert. Wählen Sie beim Konfigurieren des Autorisierungswerts entweder oder SAN oder geben Sie CN den Wert aus dem Clientzertifikat an.Die Autorisierungsliste kann auch auf der Seriennummer basieren. Wählen Sie "Clients basierend auf Seriennummer autorisieren".
- Stellen Sie sicher, dass das Kontrollkästchen Nur benutzerdefiniertes Zertifikat zulassen nicht aktiviert ist. Auf diese Weise können Sie weiterhin
alle Geräte verwalten, während Sie zu benutzerdefinierten Zertifikaten migrieren. - Wartezeit trennen (min) - Gibt an, wie lange gewartet werden panorama soll, bevor eine vorhandene Verbindung mit den verwalteten Geräten beendet und eine neue Verbindung hergestellt wird.
- Übernehmen Sie Ihre Änderungen
Auf firewall
------------------
- Einrichtung der Geräte- < Verwaltungs- < sichere Kommunikationseinstellungen.
- Legen Sie den Zertifikattyp als lokal fest.
- Durchsuchen des Clientzertifikats und des Clientzertifikatprofils
- Aktivieren Sie "Panorama Kommunikation".
- Übernehmen Sie Ihre Änderungen
Additional Information
Überprüfung:
-----------------
So überprüfen Sie, ob die benutzerdefinierten Zertifikate in der Panorama firewall Kommunikation verwendet werden.
1. Das Panorama Dashboard zeigt das Zertifikat als "Bereitgestellt" < Verwaltetes Gerät < Zusammenfassung
an. Wenn die Kommunikation vordefinierte Zertifikate verwendet, lautet der Status "vordefiniert"
Panorama
2. Führen Sie ein PCAP between Firewall und die Die Server-Begrüßung und die Zertifikatsnachricht vom Client zeigt die panorama
entsprechenden Zertifikate an.
Serverzertifikat
---------------------------------
Client-Zertifikat
------------------------------
Panorama Protokolle
---------------------
2022-01-11 05:49:26.830 -0800 pan_conn_set_conn_details: device_type:Server: Client ist Gerät
2022-01-11 05:49:26.830 -0800 erhielt eine reg-Nachricht von 007051000149547. Conn-Eintrag wird erstellt.
2022-01-11 05:49:26.840 -0800 Status vom Gerät 007051000149547 erhalten HA , lokaler Status: aktiv, Peer-Status: unbekannt
2022-01-11 05:49:26.858 -0800 connmgr: Verbindungseintrag hinzugefügt: devid=007051000149547 (1001189)
2022-01-11 05:49:26.858 -0800 007051000149547 ist jetzt verbunden