(Panoramaで管理されていない)PAシリーズへのデバイス証明書のインストール方法を説明します。
デバイス証明書はCDSS等のパロアルトネットワークスのクラウドサービスとの連携に必要な証明書です。
デバイス証明書を設定していないとCortex Data Lakeなどのクラウドサービスが利用できないだけでなく、一部のセキュリティ機能が有効に動作しない可能性がありますので必ずインストールするようにしましょう。
デバイス証明書の手動インストールが必要になるのは以下の第3世代までのNGFWです。
・PA-200/PA-200R
・PA-220
・PA-500
・PA-800シリーズ
・PA-3000シリーズ
・PA-3200シリーズ
・PA-5000シリーズ
・PA-5200シリーズ
・PA-7000シリーズ第4世代以降のNGFW(PA-400、PA-1400、PA-3400、PA-5400、PA-5450、PA-7500)は、オンラインでのライセンス登録時に自動でデバイス証明書がインストールされます。
デバイス証明書のインストール方法
事前作業
- CSPアカウントの準備
デバイス証明書をインストールするためにはCSP(Customer Support Portal)にログインして作業を行う必要があるためアカウントの確認をしておきます。 - NGFWのシリアルの確認
デバイス証明書をインストールするNGFWのシリアルをメモしておきます。(GUIのダッシュボード画面やCLIの”show system info コマンド”で確認できます。) - NGFWのインターネット接続
デバイス証明書はインターネット経由で取得する必要があります。MGTポートもしくはサービスルートを設定してDNS、NTPを含む管理通信がインターネットに接続できることを確認してください。必要な通信要件は上記のURLに記載されています。
CSPでOTPを発行する
まず、CSP上でワンタイムパスワード(OTP)を発行します。
- CSP(https://support.paloaltonetworks.com/)にログインします。
- 【Products】→【Device Certificates】をクリックし、NGFW One Time Password ウィンドウ内の「Generate OTP」をクリックします。
3. Gnerate OTP for Next-Gen Firewall (PanOS) を選択して「Next」をクリックします。
4. プルダウンリストからデバイス証明書をインストールするNGFWのシリアル番号を選択して、「Generate OTP」をクリックします。
5. ワンタイムパスワード(OTP)が発行されました。「Copy to Clipboard」をクリックしてOTP情報を保存しておきます。(「Download OTP」をクリックしてファイルとして保存することもできます。)
これでOTPの発行が完了しました。OTPの有効期間は60分間しかありませんのですぐにNGFW側で作業を行います。また、作成したOTPは1度しか利用できません。もし何かしらの理由で登録に失敗した場合は、同じ手順でOTPを再発行してください。
デバイス証明書のインストール
NGFW上でデバイス証明書をインストールします。
1.【DEVICEタブ】→【セットアップ】→【管理タブ】→【デバイス証明書】を確認します。
まだデバイス証明書はインストールされていませんので「証明書の入手」をクリックします。
2. 先ほどCSPで発行したOTPをコピペしてOKをクリックします。
4. タスクマネージャーを確認して、デバイス証明書取得のタスクが完了していることを確認します。
5. 再度、【DEVICEタブ】→【セットアップ】→【管理タブ】→【デバイス証明書】を確認します。デバイス証明書が正常にインストールされています。デバイス証明書の有効期限を確認すると90日間になっていますが、15日前になると更新プロセスが動作して自動的に更新されます。
6. (オプション)WildFire および Advanced WildFire を利用している場合、CLIで以下のコマンドを投入して更新されたデバイス証明書を利用してWildFireクラウドとの接続を確立します。
admin> request wildfire registration channel publicトラブル時の対応について(第四世代NGFW含む)
もし、デバイス証明書のインストールが上手くいかない(上記のような表示にならない)場合は、まず販売代理点に問い合わせいただいた方がいいかもしれません。
コメント欄 質問や感想、追加してほしい記事のリクエストをお待ちしてます!