Skip to main content

Настройка профилей сертификатов (Certificate Profile) в Palo Alto Networks

Vladlen Khaziiev
Updated

Что делает профиль сертификатов

Профили сертификатов в устройствах Palo Alto Networks используются для проверки подлинности пользователей и устройств при доступе к различным сервисам: Authentication Portal, GlobalProtect, многофакторная аутентификация (MFA), IPsec VPN, доступ к веб-интерфейсу, взаимодействие с User-ID Agent и TS-Agent, а также при проверке внешних динамических списков и DDNS.

С помощью профиля сертификатов вы указываете, каким доверенным центрам сертификации (CA) доверять, а также как проверять актуальность сертификатов: через OCSP и/или CRL.

 

Зачем проверять статус отзыва сертификата

Цифровые сертификаты обеспечивают доверие между сторонами при защищённом соединении. Однако сертификат может стать недействительным ещё до даты его истечения. Например:

  • Пользователь покидает компанию.

  • Сертификат был выпущен ошибочно.

  • Частный ключ был скомпрометирован.

  • Изменились данные субъекта (например, имя или организация).

В таких случаях удостоверяющий центр аннулирует сертификат. Если firewall или Panorama не проверяет статус отзыва, существует риск, что злоумышленник сможет использовать такой сертификат для обхода защиты.

Чтобы удостовериться, что сертификат всё ещё действителен, PAN-OS поддерживает два метода проверки отзыва: CRL (Certificate Revocation List) и OSCP (Online Certificate Status Protocol), более подробно о них: CRL и OSCP в фаерволах Palo Alto Networks.

 

Конфигурация. Получение сертификатов

Перед созданием профиля необходимо получить один или несколько сертификатов доверенного центра сертификации (CA), которым вы доверяете.

Вы можете:

  • Сгенерировать собственный CA-сертификат прямо на устройстве.

  • Экспортировать существующий CA-сертификат из корпоративного удостоверяющего центра и затем импортировать его в firewall.

Вы можете это сделать во вкладке Device > Certificate Management > Certificates, в рамках данной статьи мы не будем детально рассматривать импорт и генерацию сертификатов.

Конфигурация. Создание профиля сертификатов

 

Перейдите в интерфейсе Device > Certificate Management > Certificate Profile, затем нажмите Add для создания нового профиля.

 

2.1 Настройка имени и области

  • Укажите уникальное имя профиля (до 63 символов, чувствительно к регистру).

  • Выберите Location — Shared (для всех vsys) или конкретный виртуальный систем (vsys), если используется Multi-VSYS.

2.2 Добавление CA-сертификатов

  • Нажмите Add в разделе CA Certificates.

  • Выберите ранее импортированный CA-сертификат или нажмите Import, чтобы загрузить новый.

  • При импорте укажите имя, выберите файл сертификата (в формате PEM или DER), затем нажмите OK.

2.3 Настройка OCSP (опционально)

  • Если необходимо переопределить Authority Information Access (AIA) из сертификата, укажите свой Default OCSP URL (например, http://ocsp.your-ca.com).

  • При необходимости выберите отдельный сертификат в поле OCSP Verify CA Certificate для проверки ответов от OCSP-сервера.

 

Конфигурация. Проверка отзыва сертификатов

 

Выберите методы проверки актуальности сертификатов и задайте соответствующую логику поведения.

 

3.1 Выбор метода

  • Use OCSP — онлайн-проверка через OCSP.

  • Use CRL — проверка через загруженный список отозванных сертификатов.

  • Лучше включить оба метода, чтобы CRL работал как резервный.

Если настроены оба метода, PAN-OS сначала использует OCSP, а при его недоступности — переходит на CRL.

3.2 Настройка таймаутов

Certificate Status Timeout — общий таймаут ожидания ответа от OCSP/CRL-сервера.

  • Диапазон: 1–60 секунд.

  • По истечении этого времени firewall прекращает ожидание и применяет логику блокировки, если она задана.

Взаимосвязь с другими таймаутами:

  • Если включены OCSP и CRL, таймаут запроса наступает при достижении меньшего из значения Certificate Status Timeout и суммы таймаутов OCSP + CRL.

  • Если включён только OCSP, используется меньшее из Certificate Status Timeout и OCSP Receive Timeout.

  • Если включён только CRL, используется меньшее из Certificate Status Timeout и CRL Receive Timeout.

3.3 Поведение при сбоях

Настройте, как действовать при ошибках в проверке:

  • Block sessions if certificate status is unknown — блокировать, если статус неизвестен.

  • Block sessions if certificate status cannot be retrieved within timeout — блокировать при таймауте.

  • (GlobalProtect) Block sessions if the certificate was not issued to the authenticating device — блокировать, если серийный номер не совпадает с ID устройства.

  • Block sessions with expired certificates — блокировать, если сертификат истёк.

 

Применение конфигураций

  • Нажмите OK, чтобы сохранить профиль.

  • Перейдите в Commit, примените изменения на устройстве.

Заключение

Профили сертификатов играют критическую роль в обеспечении безопасности доступа к инфраструктуре. Используйте OCSP и CRL совместно для максимальной надёжности и резервирования. Грамотно заданная политика блокировки сессий защищает от компрометации и недействительных сертификатов.

Related articles

Comments

0 comments

Please sign in to leave a comment.