のセキュア通信設定方法Panorama-firewallコミュニケーション。

のセキュア通信設定方法Panorama-firewallコミュニケーション。

6851
Created On 01/17/22 08:51 AM - Last Modified 09/19/25 02:09 AM


Objective


A 典型的Panorama-firewall通信は、定義済みの証明書と相互認証を使用して確立します。SSL繋がり。
事前定義された証明書を使用する場合、デバイス証明書または共通の場合CA期限切れになると、どのデバイスも接続できなくなりますPanorama.
また、事前展開された自己署名共通ルートの場合CA侵害されると、攻撃者はスプーフィングできます。

ただし、代わりにカスタム証明書を使用して認証を構成できます
カスタム証明書を使用すると、固有の信頼チェーンを確立して、相互認証を確保できます。Panorama管理されたファイアウォール。 



 

Environment


8.1 を超えるパノラマ
アクティブなpanoramaファイアウォールに接続されています。

Procedure


A 通常SSL接続サーバーは、認証のためにその証明書をクライアントに送信します。
相互認証の場合、サーバーによって提示されるサーバー証明書と、クライアントによって提示されるクライアント証明書があります。
ここで私たちの場合Panoramaはサーバーであり、firewallクライアントです。
事前定義された証明書が使用される場合、Aサーバー証明書コマンド名 (CN ) になりますIPまたFQDNのpanorama.
CNクライアント証明書のシリアル番号は、Firewall .

セキュアな通信構成の要件は次のとおりです。

SSL/TLSサービス プロファイル
------------------------------
でサーバー証明書を参照します。Panoramaおよびクライアント証明書Firewall.
の Max バージョンも定義します。TLSプロトコル バージョン。

サーバー証明書と証明書プロファイル.
-------------------------------------------------- ------------
サーバー証明書には、IPアドレスまたはFQDNのPanorama管理インターフェース。 で定義する必要があります。CNフィールドまたは Subject Alt 名。
クライアント デバイスは、このフィールドをIPのアドレスPanoramaを確認するPanorama身元。
証明書プロファイルは、クライアント デバイスに対してサーバーを識別するためのものです。 その根CAこの構成では、サーバー証明書を参照できます。
証明書の失効は、次のいずれかとして構成できます。OCSPまたCRL

クライアント証明書プロファイルとクライアント証明書
-------------------------------------------------- ------------
クライアント証明書プロファイルは、サーバーに対してクライアントを識別しますpanorama.
サーバーと同様に、ルートにはクライアント証明書プロファイルが必要ですCAオプションの証明書失効ステータス。
クライアント証明書は、接続されているすべてのファイアウォールで同じにすることも、一意にすることもできます。
サーバーとは異なり、クライアント証明書は必ずしもサーバーのシリアル番号を必要としない場合があります。firewallとしてCN.

Aサーバー証明書またはクライアント証明書を
  • 企業の公開鍵インフラストラクチャから (PKI )
  • 信頼できるサードパーティから購入する CA
  • 自己署名証明書をローカルで生成します。
構成:
の上Panorama
------------------------
  1. Panorama < セットアップ < 管理 < セキュアな通信設定。
  2. セキュア サーバー通信のカスタマイズを有効にします。
  3. を選択SSL/TLSサーバ証明書用に設定されたサービス プロファイル。
  4. サーバー証明書の証明書プロファイルを選択します。
  5. 許可リストはオプションです。 このオプションは、クライアント証明書をチェックしますCNまたSANフィールドとその値。 認証値を設定する際に、次のいずれかを選択しますCNまたSANクライアント証明書から値を提供します。権限リストは、シリアル番号に基づくこともできます。 同じ「シリアル番号に基づいてクライアントを認証する」を選択します。
  6. [カスタム証明書のみを許可する] チェック ボックスが選択されていないことを確認します。 これにより、続行できます
    カスタム証明書に移行しながら、すべてのデバイスを管理します。
  7. 切断待機時間 (分) - 切断にかかる時間panorama管理対象デバイスとの既存の接続を終了し、新しい接続を確立する前に待機する必要があります。
  8. 変更をコミットします
ユーザーが追加した画像

の上firewall
------------------
  1. デバイス < セットアップ管理 < セキュアな通信設定。
  2. 証明書の種類をローカルに設定します。
  3. クライアント証明書とクライアント証明書プロファイルを参照する
  4. 有効 "Panoramaコミュニケーション"。
  5. 変更をコミットします
ユーザーが追加した画像




 

Additional Information


検証:
-----------------
でカスタム証明書が使用されているかどうかを確認する方法Panoramafirewallコミュニケーション。

1. のPanoramaダッシュボードに証明書が「デプロイ済み」と表示される
Panorama< 管理対象機器 < まとめ
通信が定義済みの証明書を使用している場合、ステータスは「定義済み」になります。

ユーザーが追加した画像

2. 実行するPCAPの間にFirewallそしてそのpanorama
サーバーの hello とクライアントからの証明書メッセージに、それぞれの証明書が表示されます。
サーバー証明書
----------------------------------
PCAP panorama.png

クライアント証明書
------------------------------
Firewall 証明書PCAP.png

Panoramaログ
----------------------
2022-01-11 05:49:26.830 -0800 pan_conn_set_conn_details: device_type:server: クライアントはデバイスです
2022-01-11 05:49:26.830 -0800 が 007051000149547 から reg メッセージを受信しました。 conn エントリを作成しています。
2022-01-11 05:49:26.840 -0800 ゲットHAデバイス 007051000149547 からの状態、ローカル状態: アクティブ、ピア状態: 不明
2022-01-11 05:49:26.858 -0800 connmgr: 接続エントリが追加されました: devid=007051000149547 (1001189)
2022-01-11 05:49:26.858 -0800 007051000149547 が接続されました
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004Mr1CAE&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language