Cómo configurar la configuración de comunicación segura para Panorama-firewall comunicación.
6845
Created On 01/17/22 08:51 AM - Last Modified 09/19/25 02:09 AM
Objective
A Típica Panorama:firewall la comunicación utiliza certificados predefinidos y autenticación mutua para establecer la SSL conexión.
Con certificados predefinidos, si el certificado de dispositivo o CA común caduca, ningún dispositivo podrá conectarse a Panorama.
Además, si la raíz CA común autofirmada implementada previamente se ve comprometida, un atacante puede falsificar.
Sin embargo, puede configurar la autenticación mediante certificados personalizados en su lugar
Los certificados personalizados le permiten establecer una cadena de confianza única para garantizar la autenticación mutua entre Panorama los firewalls administrados y los controles.
Environment
Panos por encima de 8.1
Un activo panorama conectado con firewalls.
Procedure
A El servidor de conexión normal SSL envía su certificado al cliente para su autenticación.
En el caso de autenticación mutua, habrá un certificado de servidor presente por el servidor y un certificado de cliente presente por el cliente.
Aquí en nuestro caso Panorama está el servidor y firewall es el cliente.
Cuando se utilizan los certificados predefinidos, A el nombre del comando del certificado de servidor (CN) será el o FQDN del .
CN del certificado de cliente será el IP número de serie del panoramaFirewall.
Estos son los requisitos para la configuración de comunicación segura.
SSL/TLS perfil de servicio
------------------------------
Haga referencia al certificado de servidor en el y al certificado de cliente en el Panorama Firewall.
También define la versión Max de la TLS versión del protocolo. El certificado de
servidor y el perfil de certificado.
--------------------------------------------------------------
El certificado de servidor debe tener la dirección o la de la IP FQDN Panorama interfaz de administración. Debe definirse en el campo o en el CN nombre Alt del sujeto.
El dispositivo cliente utiliza este campo contra la dirección del para Panorama verificar la IP Panorama identidad.
El perfil de certificado es para identificar el servidor en los dispositivos cliente. Se puede hacer referencia a la raíz CA del certificado de servidor en esta configuración.
La revocación de certificados se puede configurar como OCSP o Perfil de certificado de cliente y certificado de cliente --------------------------------------------------------------
El perfil de CRL
certificado de cliente
identifica al cliente en el servidorpanorama.
Similar al servidor, se requiere un perfil de certificado de cliente con estado de revocación de certificado raíz CA y opcional.
El certificado de cliente puede ser el mismo o único en todos los firewalls conectados.
A diferencia de un servidor, es posible que un certificado de cliente no necesite necesariamente el número de serie del firewall .CN
A
- Desde la infraestructura de clave pública de su empresa (PKI)
- Comprar uno de un tercero de confianza CA
- Genere un certificado autofirmado localmente.
En Panorama
------------------------
- Panorama < Configuración < administración < configuración de comunicación segura.
- Habilite Personalizar la comunicación segura del servidor.
- Seleccione el / perfil de servicio configurado para el certificado de SSLTLS servidor.
- Seleccione el Perfil de certificado del certificado de servidor.
- La lista de autorización es opcional. Esta opción comprobará el certificado CN o campo de SAN cliente y su valor. Al configurar el valor de autorización, seleccione CN o SAN proporcione su valor desde el certificado de cliente.La lista de autorización también puede basarse en el número de serie. Seleccione "autorizar clientes basados en el número de serie" para el mismo.
- Compruebe que la casilla Permitir sólo certificado personalizado no está activada. Esto le permite continuar
administrando todos los dispositivos mientras migra a certificados personalizados. - Tiempo de espera de desconexión (min): cuánto tiempo panorama debe esperar antes de finalizar una conexión existente con los dispositivos administrados y establecer una nueva conexión.
- Confirme sus cambios
En firewall
------------------
- Configuración de < de dispositivos Administración < configuración de comunicación segura.
- Establezca Tipo de certificado como local.
- Examinar el certificado de cliente y el perfil de certificado de cliente
- Habilite "Panorama Comunicación".
- Confirme sus cambios
Additional Information
Verificación:
-----------------
Cómo comprobar si se utilizan los certificados personalizados en la Panorama firewall comunicación.
1. El Panorama panel mostrará el certificado como "Implementado" < Dispositivo administrado < resumen
Si la comunicación utiliza certificados predefinidos, el estado será "predefinido"
Panorama
2. Realice un PCAP entre Firewall y el El servidor hola y el panorama
mensaje de certificado del cliente mostrarán los certificados respectivos.
Certificado
de servidor---------------------------------
Certificado
de cliente------------------------------
Panorama registros
---------------------
2022-01-11 05:49:26.830 -0800 pan_conn_set_conn_details: device_type:servidor: el cliente es dispositivo
2022-01-11 05:49:26.830 -0800 recibió un mensaje reg de 007051000149547. Creación de entrada de conn.
2022-01-11 05:49:26.840 -0800 Obtuvo HA el estado del dispositivo 007051000149547, estado local: activo, estado del mismo nivel: desconocido
2022-01-11 05:49:26.858 -0800 connmgr: entrada de conexión agregada: devid = 007051000149547 (1001189)
2022-01-11 05:49:26.858 -0800 007051000149547 ahora está conectado