※この記事は以下の記事の日本語訳です。
How to Install a Chained Certificate Signed by a Public CA
Palo Alto Networks 次世代ファイアウォールを設定する際、信頼された公的な証明機関(CA)によって署名された証明書を以下の用途に使うことができます:
多くの公的CAはチェーン証明書を使用します。チェーン証明書では、証明書がルート証明書自身によって署名されているのではなく、一つ以上の中間証明書によって署名されています。これらは主に同じCAによって所有され運用されますが、こうすることによって柔軟性を持たせ、何か問題が起きたときに証明書を失効しやすくなります。
1. 証明書のリクエスト
ファイアウォールにインストールされているPAN-OSのバージョンによって、秘密鍵とCSRはOpenSSLなどのサードパーティ プログラムを使用して生成する必要があります。
もしPAN-OS 5.0を使用しているのであれば、以下のドキュメントを参照してください。
How to Generate a CSR(Certificate Signing Request) and Import the Signed Certificate
2. 証明書の連結
証明書がルートCAによって署名されない場合、クライアントの信頼済み鍵ストアに中間証明書が既に存在しなければ、中間証明書がクライアントに送信されなければなりません。これを実現するために、CP、GP、またはレスポンスページの証明書に中間証明書が続く形で署名された各証明書を連結します。以下の図は中間証明書が二つの場合の例ですが、中間証明書が一つだけの場合や、複数の場合でも同様のやり方で実現できます。
各証明書を取得する手順は以下の通りです:
注: ファイル名に空白文字を含めることはできません。空白文字が存在するとインポートに失敗する恐れがあります。
3. 証明書のインポート
前述の手順で連結した証明書をファイアウォールにインポートします。
How to Generate a CSR and Import the Signed CA Certificate