PaloAlto Panorama
SecTrail CM, Palo Alto Panorama merkezi yönetim platformuna ajansız bağlantı kurarak yönetilen tüm firewall cihazlarına SSL sertifikalarının otomatik dağıtımını ve yenilenmesini sağlar.
Bağlantı Gereksinimleri
| Gereksinim | Detay | Açıklama |
|---|---|---|
| Protokol | XML API (HTTPS) | Panorama'nın native XML API'si kullanılır |
| Port | 443 | Standart HTTPS portu veya custom management port |
| Kimlik Doğrulama | Username ve Password | Username ve Password ile kimlik doğrulama |
| Kullanıcı Yetkisi | Admin veya Certificate Manager role | Sertifika yükleme ve yapılandırma yetkisi |
Otomatik İşlemler
SecTrail CM, Palo Alto Panorama üzerinde aşağıdaki işlemleri otomatik gerçekleştirir:
- Sertifika ve Key Yükleme: SSL sertifikası ve private key'in güvenli transferi
- Certificate Import: Sertifika ve key'in Panorama üzerinden yönetilen cihazlara import edilmesi
- SSL Profile Update: SSL decryption profile'larının güncellenmesi
- Configuration Commit: Konfigürasyonun commit edilmesi ve kalıcı hale getirilmesi
Yapılandırma Adımları
1. Panorama Kullanıcı Oluşturma
Automation > Device Users bölümüne gidin ve Panorama için kullanıcı oluşturun.
2. Panorama Cihazını SecTrail CM'e Ekleme
Automation > Devices > Add New Device butonuna tıklayın ve aşağıdaki bilgileri girin:
- Name: Cihaz için tanımlayıcı isim verin
- Device Users: Adım 1'de oluşturduğunuz kullanıcıyı seçin
- IP: Panorama yönetim IP adresini girin
- Device Type: Açılır menüden
Panoramaseçin - Deployment Type: Dağıtım tipini seçin
- Append: Var olan decryption rule'a yeni sertifikayı ekler (mevcut sertifikalar korunur)
- Replace: Mevcut sertifikayı yenisiyle değiştirir (eski sertifika silinir)
- Skip Commit: Değişiklikler commit edilsin mi? (Devre Dışı/Etkin)
- Skip Push: Sertifika karşı cihaza yüklensin mi? (Devre Dışı/Etkin)
Panorama cihazı SecTrail CM'e eklendikten sonra, Panorama tarafından yönetilen tüm cihazlardaki sertifikalar otomatik olarak keşif periyoduna dahil edilir ve düzenli olarak taranır. Süresi dolmak üzere olan veya sorunlu sertifikalar için otomatik alarm oluşturulur.
3. Cihaz Bilgilerini Görüntüleme
Cihaz eklendikten sonra Automation > Devices listesinde görüntülenecektir. Cihaz detaylarını görmek için satıra tıklayın:
- Rule Name: Panorama üzerinde tanımlı kuralın adı
- Device Group: Sertifikanın ait olduğu cihaz grubu
- Template: Sertifikanın bağlı olduğu Panorama template adı
- Template Stack: Sertifikanın ait olduğu template stack adı
- Rule Type: Kuralın tipi (örn. decryption rule)
- Cert Name: Cihazda tanımlı sertifikanın adı
- Common Name: Sertifikanın Common Name (CN) bilgisi
- Not After: Sertifikanın son geçerlilik tarihi
- Deploy: Sertifika dağıtımı için
Sertifika Dağıtımı
Adım 1: Virtual Server ve Sertifika Seçimi
- Automation > Devices bölümünden Panorama cihazınızı seçin
- Cihaz detaylarında, sertifika dağıtmak istediğiniz Virtual Server'ı bulun
- İlgili satırdaki Deploy butonuna tıklayın
- Açılan Deploy Certificate penceresinde:
- Virtual Servers: Hedef Virtual Server bilgisi görüntülenir (Name/Destination/Subject formatında)
- Certificate: Açılır menüden dağıtmak istediğiniz sertifikayı seçin
Adım 2: Dağıtım İşlemini Başlatma
Deploy butonuna tıklayarak sertifika dağıtım işlemini başlatın.
Adım 3: İşlem Takibi
Dağıtım işlemi Automation > Processes bölümünden takip edilebilir:
İşlem Detayları
Dağıtım sırasında aşağıdaki adımlar gerçekleştirilir:
| Adım | İşlem Açıklaması |
|---|---|
| 1 | Sertifika başarıyla güncellenir |
| 2 | Decryption kuralları yapılandırılır |
| 3 | Yapılandırma commit edilir |
| 4 | Yapılandırma başarıyla tamamlanır |
Skip Commit devre dışı olduğunda SecTrail CM, dağıtım sonrasında yapılandırma değişikliklerini commit eder ve kalıcı hale getirir.
Geri Alma İşlemi
Sertifika dağıtımı sonrasında sorun yaşanması durumunda Manual Rollback özelliği kullanılabilir.
Dağıtım işlemi sırasında herhangi bir adımda hata oluşması durumunda, sistem otomatik olarak geri alma işlemini gerçekleştirir ve tüm değişiklikler geri alınır.
Geri Alma Adımları
- Automation > Processes bölümüne gidin
- Geri almak istediğiniz işlemi bulun
- Status sütununda Manual-Rollback seçeneğini kullanın
- Onay verin
Geri Alma Sırasında Gerçekleşen İşlemler
| Adım | İşlem |
|---|---|
| 1 | Yeni yüklenen sertifika silinir |
| 2 | Önceki konfigürasyon geri yüklenir |
| 3 | Decryption kuralları eski haline getirilir |
| 4 | Geri alma işlemi başarıyla tamamlanır |