新しい自己署名証明書の生成方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
How to Generate a New Self-Signed SSL Certificate
https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Generate-a-New-Self-Signed-SSL-Certi...

 

概要

デバイスに独自の証明書をロードしたくない場合やデフォルトの自己署名証明書を使用したくない場合は、新しい自己署名証明書を Web インタフェースまたは CLI を使用して生成することができます。
この新しい自己署名証明書は、SSL 復号化または GlobalProtect ポータルまたはゲートウェイ証明書に使用することができます。

 

 

手順

1. WebGUI から [デバイス]> [証明書]に移動します。

2. 画面の一番下の Genarate をクリックします。

3. 証明書の目的の詳細を入力します。ここで入力した詳細は、ブラウザを使用して暗号化されたセッションの CA 証明書を表示する場合ユーザーが見るものとなります。
注: 365日(1年)より長い有効期限を持つ証明書を作成したい場合は、証明書を作成する前に Expiration (days) を 365 より大きい値に変更してください。

doc-1058-01.png

 

4. Generate Certificate ウインドウで Generate をクリックします:

doc-1058-02.png

 

5. 証明書が正しく作成されたことを確認するために、新たに生成された証明書をクリックしてください。

注: SSL 復号化のためにこの証明書を使用している場合は、 "Forward Trust Certificate" と "Forward Untrust Certificate" にチェックを入れます。証明書を削除する場合、両方のオプションのチェックを外さないとエラーが生成されます。

doc-1058-03.png

 

6. 変更をコミットします。コミット処理が完了すると、自己署名 CA 証明書はインストールされます。

 

CLI

CLIでは、新しい自己署名証明書を作成するには次のコマンドを <すべて1行として> 実行します。( 5.0 から 6.1 )

 

> request certificate self-signed country-code US email support@paloaltonetworks.com locality Alviso state CA organization “Palo Alto Networks” organization-unit “Session inspected by policy” nbits 1024 name “SSL Inspection” passphrase bubba for-use-by ssl-decryption

 

6.0 の CLI コマンドに関する追加情報は、以下記事を参照してください:

Command Line Interface (CLI) Reference Guide Release 6.0

 

7.0 の場合、非常にシンプルな自己署名証明書を以下のコマンドで作成することができます:

 

> request certificate generate name "Firewall-a" certificate-name "ssl test"

 

CLI 行で次に使えるコマンドを確認するために、常時 <tab> または "?" を使用することができます。

 

7.0 におけるCLIおよび管理情報の追加情報ついては、こちらの記事を参照してください:

Palo Alto Networks Documentation for PAN-OS 7.0

 

owner: jebel