Comment configurer le paramètre de communication sécurisée pour Panorama-firewall communication.
6891
Created On 01/17/22 08:51 AM - Last Modified 09/19/25 02:09 AM
Objective
A Typique Panorama-firewall La communication utilise des certificats prédéfinis et une authentification mutuelle pour établir la SSL connexion.
Avec les certificats prédéfinis, si le certificat de périphérique ou CA commun expire, aucun périphérique ne pourra se connecter à Panorama.
En outre, si la racine CA commune auto-signée prédéployée est compromise, un attaquant peut usurper l’identité.
Toutefois, vous pouvez configurer l’authentification à l’aide de certificats personnalisés à la place
Les certificats personnalisés vous permettent d’établir une chaîne de confiance unique pour garantir l’authentification mutuelle entre Panorama les pare-feu gérés.
Environment
Panos au-dessus de 8.1
Un actif panorama connecté avec des pare-feu.
Procedure
A Le serveur de connexion standard SSL envoie son certificat au client pour authentification.
Dans le cas de l’authentification mutuelle, il y aura un certificat de serveur présent par le serveur et un certificat client présent par le client.
Ici, dans notre cas Panorama , se trouve le serveur et firewall le client.
Lorsque les certificats prédéfinis sont utilisés, A le nom de commande du certificat de serveur () sera le ou FQDN du . du certificat client sera le IP numéro de série du FirewallCNpanorama.
CN
Voici la configuration requise pour la configuration de la communication sécurisée.
SSL/TLS profil de service
------------------------------
Référencez le certificat de serveur sur le et le certificat client sur le Panorama Firewall.
Définit également la version Max de la TLS version du protocole.
Le certificat du serveur et le profil de certificat.
--------------------------------------------------------------
Le certificat de serveur doit avoir l’adresse ou l’interface IP FQDN de gestion Panorama . Il doit être défini dans le champ ou dans le CN nom Alt de l’objet.
Le périphérique client utilise ce champ par rapport à l’adresse du pour vérifier l’identité IP Panorama Panorama .
Le profil de certificat permet d’identifier le serveur auprès des périphériques clients. La racine CA du certificat de serveur peut être référencée dans cette configuration.
La révocation de certificat peut être configurée en tant que OCSP ou Profil de certificat CRL
client et
certificat client --------------------------------------------------------------
Le profil de certificat client identifie le client sur le serveur panorama.
Comme pour le serveur, un profil de certificat client est requis avec l’état racine CA et facultatif de révocation du certificat.
Le certificat client peut être identique ou unique sur tous les pare-feu connectés.
Contrairement à un serveur, un certificat client n’a pas nécessairement besoin du numéro de série du firewall CN.
A
- À partir de votre infrastructure à clé publique d’entreprise (PKI)
- Achetez-en un auprès d’un tiers de confiance CA
- Générez un certificat auto-signé localement.
Sur Panorama
------------------------
- Panorama < Configuration < Gestion < paramètres de communication sécurisés.
- Activez Personnaliser la communication serveur sécurisée.
- Sélectionnez le profil /TLS service configuré pour le SSLcertificat de serveur.
- Sélectionnez le profil de certificat du certificat de serveur.
- La liste d’autorisation est facultative. Cette option vérifie le certificat CN client ou SAN le champ et leur valeur. Lors de la configuration de la valeur d’autorisation, sélectionnez CN ou SAN et fournissez leur valeur à partir du certificat client.La liste d’autorisation peut également être basée sur le numéro de série. Sélectionnez « autoriser les clients en fonction du numéro de série » pour la même chose.
- Vérifiez que la case à cocher Autoriser uniquement le certificat personnalisé n’est pas activée. Cela vous permet de continuer
à gérer tous les appareils lors de la migration vers des certificats personnalisés. - Disconnect Wait Time (min) : durée d’attente avant de mettre fin à une connexion existante avec les appareils gérés et d’établir panorama une nouvelle connexion.
- Engagez vos modifications
Sur firewall
------------------
- Configuration de la < de l’appareil Gestion < paramètres de communication sécurisés.
- Définissez le type de certificat sur local.
- Parcourir le certificat client et le profil de certificat client
- Activez "Panorama Communication « .
- Engagez vos modifications
Additional Information
Vérification :
-----------------
Comment vérifier si les certificats personnalisés sont utilisés dans la Panorama firewall communication.
1. Le Panorama tableau de bord affichera le certificat comme « Déployé » < Résumé de l<'appareil géré Si la communication utilise des certificats prédéfinis, l’état
sera « prédéfini »
Panorama
2. Effectuez un PCAP entre Firewall et le message Le serveur hello et le panorama
certificat du client afficheront les certificats respectifs.
Certificat de serveur---------------------------------
Certificat
client------------------------------
Panorama logs
---------------------
2022-01-11 05:49:26.830 -0800 pan_conn_set_conn_details: device_type:server: client is device
2022-01-11 05:49:26.830 -0800 a reçu un message reg de 007051000149547. Création d’une entrée conn.
2022-01-11 05:49:26.840 -0800 Got HA state from device 007051000149547, local state: active, peer state: unknown
2022-01-11 05:49:26.858 -0800 connmgr: entrée de connexion ajoutée: devid=007051000149547 (1001189)
2022-01-11 05:49:26.858 -0800 007051000149547 est maintenant connecté