Palo Alto Networks
SecTrail CM, Palo Alto Networks firewall cihazlarına ajansız bağlantı kurarak SSL sertifikalarının otomatik dağıtımını ve yenilenmesini sağlar.
Bağlantı Gereksinimleri
| Gereksinim | Detay | Açıklama |
|---|---|---|
| Protokol | XML API (HTTPS) | Palo Alto'nun native XML API'si kullanılır |
| Port | 443 | Standart HTTPS portu veya custom management port |
| Kimlik Doğrulama | Username ve Password | Username ve Password ile kimlik doğrulama |
| Kullanıcı Yetkisi | Admin veya Certificate Manager role | Sertifika yükleme ve yapılandırma yetkisi |
Otomatik İşlemler
SecTrail CM, Palo Alto Networks firewall üzerinde aşağıdaki işlemleri otomatik gerçekleştirir:
- Sertifika ve Key Yükleme: SSL sertifikası ve private key'in güvenli transferi
- Certificate Import: Sertifika ve key'in cihaza import edilmesi
- SSL Profile Update: SSL decryption profile'larının güncellenmesi
- Configuration Commit: Konfigürasyonun commit edilmesi ve kalıcı hale getirilmesi
Yapılandırma Adımları
1. Palo Alto Kullanıcı Oluşturma
Automation > Device Users bölümüne gidin ve Palo Alto için kullanıcı oluşturun.
2. Palo Alto Cihazını SecTrail CM'e Ekleme
Automation > Devices > Add New Device butonuna tıklayın ve aşağıdaki bilgileri girin:
- Name: Cihaz için tanımlayıcı isim verin
- Device Users: Adım 1'de oluşturduğunuz kullanıcıyı seçin
- IP: Palo Alto cihazının management IP adresini girin
- Device Type: Açılır menüden
Palo Alto Firewallseçin - Deployment Type: Dağıtım tipini seçin
- Append: Var olan decryption rule'a yeni sertifikayı ekler (mevcut sertifikalar korunur)
- Override: Mevcut sertifikayı yenisiyle değiştirir (eski sertifika silinir)
- Cert Upload Only: Yalnızca sertifika yüklensin mi? (Devre Dışı/Etkin)
- Force Sync: Değişiklikler otomatik commit edilsin mi? (Devre Dışı/Etkin)
- Wait For Completion: Commit işleminin tamamlanması beklensin mi? (Devre Dışı/Etkin)
Palo Alto cihazı SecTrail CM'e eklendikten sonra, cihazda tanımlı tüm sertifikalar otomatik olarak keşif periyoduna dahil edilir ve düzenli olarak taranır. Süresi dolmak üzere olan veya sorunlu sertifikalar için otomatik alarm oluşturulur.
3. Cihaz Bilgilerini Görüntüleme
Cihaz eklendikten sonra Automation > Devices listesinde görüntülenecektir. Cihaz detaylarını görmek için satıra tıklayın:
- Name: Cihazda tanımlı sertifika adları
- Destination: Sertifikanın kullanım alanı (any, tunnel-ip vb.)
- Subject: Sertifikanın subject bilgisi
- Fingerprints: Sertifikanın parmak izi
- NotAfter: Sertifikanın son geçerlilik tarihi
- Deploy: Sertifika dağıtımı için
Sertifika Dağıtımı
Adım 1: Virtual Server ve Sertifika Seçimi
- Automation > Devices bölümünden Palo Alto cihazınızı seçin
- Cihaz detaylarında, sertifika dağıtmak istediğiniz Virtual Server'ı bulun
- İlgili satırdaki Deploy butonuna tıklayın
- Açılan Deploy Certificate penceresinde:
- Virtual Servers: Hedef Virtual Server bilgisi görüntülenir (Name/Destination/Subject formatında)
- Certificate: Açılır menüden dağıtmak istediğiniz sertifikayı seçin
Adım 2: Dağıtım İşlemini Başlatma
Deploy butonuna tıklayarak sertifika dağıtım işlemini başlatın.
Adım 3: İşlem Takibi
Dağıtım işlemi Automation > Processes bölümünden takip edilebilir:
İşlem Detayları
Dağıtım sırasında aşağıdaki adımlar gerçekleştirilir:
| Adım | İşlem Açıklaması |
|---|---|
| 1 | Sertifika başarıyla güncellenir |
| 2 | Decryption kuralları yapılandırılır |
| 3 | Yapılandırma commit edilir |
| 4 | Yapılandırma başarıyla tamamlanır |
SecTrail CM, dağıtım sonrasında yapılandırma değişikliklerini otomatik olarak commit eder ve kalıcı hale getirir.
Geri Alma İşlemi
Sertifika dağıtımı sonrasında sorun yaşanması durumunda Manual Rollback özelliği kullanılabilir.
Dağıtım işlemi sırasında herhangi bir adımda hata oluşması durumunda, sistem otomatik olarak geri alma işlemini gerçekleştirir ve tüm değişiklikler geri alınır.
Geri Alma Adımları
- Automation > Processes bölümüne gidin
- Geri almak istediğiniz işlemi bulun
- Status sütununda Manual-Rollback seçeneğini kullanın
- Onay verin
Geri Alma Sırasında Gerçekleşen İşlemler
| Adım | İşlem |
|---|---|
| 1 | Yeni yüklenen sertifika silinir |
| 2 | Önceki konfigürasyon geri yüklenir |
| 3 | Decryption kuralları eski haline getirilir |
| 4 | Geri alma işlemi başarıyla tamamlanır |