CSR(Certificate Signing Request) の作成と署名済み証明書のインポート手順

※この記事は以下の記事の日本語訳です。
How to Generate a CSR(Certificate Signing Request) and Import the Signed Certificate
https://knowledgebase.paloaltonetworks.com/kcSArticleDetail?id=kA10g000000ClSx

詳細

PAN-OS 5.0 以降では、Certificate Signing Request (CSR)を作成することができます。本機能により、Verisign, Globalsign, Entrustといった認証局に Certificate Signing Request (CSR) を送付することが可能となります。

手順

CSR の作成

1. Device > Certificate Management > Certificates の順にクリックします。
2. GUI 画面下部の、'Generate' をクリックします。
3. Certificate Name /Common Name (FQDN)を入力し(後ほど利用しますので、控えておいてください。), Signed By で "External Authority (CSR)" を選択します。
   注意: 'Certificate Authority' は選択しないでください。
4. Country, Organization 等の項目をすべて入力します。 Certificate Attribute の入力項目は、ご利用になる Certificate Authority (CA) により要件が異なりますので、ご確認ください。
5. Generate をクリックします。

   

CSR のエクスポート

CSR をエクスポートし、御利用の CA に署名のため、送付します。

1. Certificate Name 横にあるチェックボックス もしくは 該当行の空白部分をクリックします。
2. Export を選択し、ファイルに保存します。
3. 抽出した CSR を御利用予定のCA に送付し、署名を受けます。

署名済み証明書をインポートします。

1. インポートする証明書 のCertificate Nameに大文字が利用されているか 等の確認を行います (インポートする証明書 のCertificate NameはCSR 作成時のものと同じものを使用してください。)
2. Importをクリックします。
3. Import Certificate 画面で, インポートする証明書の名前を入力します。インポートする証明書 のCertificate NameはCSR 作成時のものと同じものを使用してください。
4. Certificate Authority から受信した署名済み証明書を選択し、OKをクリックします。
5. 秘密鍵は、既に firewall上にインストールされているため、Import Private Key のチェックボックスを選択する必要はありません。
6. 御利用のCertificate Authorityに応じ、中間CA証明書のインストールを行う必要があります。その場合は、本手順を完了する前に実施ください。詳細手順は、こちらをご参照ください。: How to Install a Chained Certificate Signed by a Public CA.　　　
7. OKをクリックすると. 下記の例のように、インポートした証明書が表示されます。本KBの例では、サーバ証明書をインポートしているため、Keyのチェックボックスが有効になった状態となっています。

   

こちらの手順を完了することで、第三者認証機関により署名されたサーバ証明書を GlobalProtect等の機能

で利用することができます。