如何设置安全通信设置Panorama-firewall沟通。

如何设置安全通信设置Panorama-firewall沟通。

3583
Created On 01/17/22 08:51 AM - Last Modified 09/19/25 02:09 AM


Objective


A 典型的Panorama-firewall通信使用预定义的证书和相互身份验证来建立SSL联系。
使用预定义证书,如果设备证书或通用CA过期,没有设备将能够连接到Panorama.
此外,如果预先部署自签名共同根CA被破坏,攻击者可以欺骗。

但是,您可以改为使用自定义证书配置身份验证
自定义证书允许您建立唯一的信任链以确保之间的相互身份验证Panorama和托管防火墙。 



 

Environment


帕诺斯 8.1 以上
一个活跃的panorama与防火墙相连。

Procedure


A 常规的SSL连接服务器将其证书发送给客户端进行身份验证。
在相互身份验证的情况下,服务器将提供服务器证书,客户端将提供客户端证书。
在我们的案例中Panorama是服务器和firewall是客户。
使用预定义证书时,A服务器证书命令名称(CN ) 将是IP或者FQDN的panorama.
CN客户端证书的序列号将是Firewall.

以下是安全通信配置的要求。

SSL/TLS服务简介
------------------------------
参考服务器证书Panorama和客户端证书Firewall.
还定义了 Max 版本TLS协议版本。

服务器证书和证书配置文件.
---------------------------------------------- --------------
服务器证书必须具有IP地址或FQDN的Panorama管理界面。 它必须在CN字段或主题替代名称。
客户端设备使用此字段对IP的地址Panorama验证Panorama身份。
证书配置文件用于向客户端设备标识服务器。 根CA可以在此配置中引用服务器证书。
证书吊销可以配置为OCSP或者CRL

客户端证书配置文件和客户端证书
---------------------------------------------- --------------
客户端证书配置文件向服务器标识客户端panorama.
与服务器类似,Root 需要客户端证书配置文件CA和可选的证书吊销状态。
客户端证书在所有连接的防火墙上可以相同或唯一。
与服务器不同,客户端证书可能不一定需要服务器的序列号firewall作为CN.

A服务器或客户端证书可以是
  • 从您的企业公钥基础设施(PKI )
  • 从可信赖的第三方购买一个 CA
  • 在本地生成自签名证书。
配置:
在Panorama
----------------------
  1. Panorama < 设置 < 管理 < 安全通信设置。
  2. 启用自定义安全服务器通信。
  3. 选择SSL/TLS为服务器证书配置的服务配置文件。
  4. 选择服务器证书的证书配置文件。
  5. 授权列表是可选的。 此选项将检查客户端证书CN或者SAN领域及其价值。 在配置授权值时选择CN或者SAN并从客户端证书中提供它们的价值。授权列表也可以基于序列号。 选择“基于序列号授权客户”。
  6. 确认未选中“仅允许自定义证书”复选框。 这使您可以继续
    在迁移到自定义证书时管理所有设备。
  7. Disconnect Wait Time (min) - 多长时间panorama应等待终止与受管设备的现有连接并建立新连接。
  8. 提交您的更改
用户添加的图像

在firewall
------------------
  1. 设备 < 设置管理 < 安全通信设置。
  2. 将证书类型设置为本地。
  3. 浏览客户端证书和客户端证书配置文件
  4. 使能够 ”Panorama沟通”。
  5. 提交您的更改
用户添加的图像




 

Additional Information


确认:
------------------
如何验证自定义证书是否用于Panoramafirewall沟通。

1. 这Panorama仪表板会将证书显示为“已部署”
Panorama < 受管设备 < 摘要
如果通信使用预定义的证书,则状态将为“预定义”

用户添加的图像

2. 执行一个PCAP之间Firewall和panorama
服务器问候和来自客户端的证书消息将显示相应的证书。
服务器证书
----------------------------------
PCAP panorama.png

客户证书
------------------------------
Firewall 证明PCAP.png

Panorama日志
----------------------
2022-01-11 05:49:26.830 -0800 pan_conn_set_conn_details: device_type:server: 客户端是设备
2022-01-11 05:49:26.830 -0800 收到来自 007051000149547 的注册消息。 创建连接条目。
2022-01-11 05:49:26.840 -0800 得到了HA来自设备 007051000149547 的状态,本地状态:活动,对等状态:未知
2022-01-11 05:49:26.858 -0800 connmgr:添加连接条目:devid=007051000149547 (1001189)
2022-01-11 05:49:26.858 -0800 007051000149547 现已连接
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004Mr1CAE&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language