Wie man GlobalProtect für die Authentifizierung mit nur Zertifikaten konfiguriert

Wie man GlobalProtect für die Authentifizierung mit nur Zertifikaten konfiguriert

65130
Created On 09/25/18 17:19 PM - Last Modified 04/28/20 19:42 PM


Resolution


Übersicht

Dieses Dokument beschreibt die Schritte zur Konfiguration von GlobalProtect für die Authentifizierung nur mit Zertifikaten, ohne dass der Benutzer zum Login aufgefordert wird.

 

Schritte

  1. Erstellen Sie das Zertifikats Profil unter Device > Zertifikats Management > Zertifikats Profil.
    Vergewissern Sie sich, dass das Benutzername-Feld auf ' Betreff ' gesetzt ist und die Grauzone rechts davon "Common-Name" zeigt. Fügen Sie die Root-CA unter CA-Zertifikaten hinzu.
    Zertifikats Profil. pngZertifikats Profil
  2. Das Bild unten zeigt die erstellten Zertifikate:
    Zertifikate. pngZertifikate
  3. Konfigurieren Sie das GlobalProtect Gateway.
    Stellen Sie das Authentifizierungs Profil auf keines ein und wählen Sie das Zertifikats Profil aus, das in Schritt 1 erstellt wurde.
    Gateway. pngGlobalprotect Gateway
  4. Konfigurieren Sie das GlobalProtect-Portal
    , das das Authentifizierungs Profil auf keines gesetzt hat. Wählen Sie das KundenZertifikat und das Zertifikats Profil.
    Hinweis: Wenn die Firewall ein Client-Zertifikat generiert, geht man davon aus, dass die Zertifikats Infrastruktur im Netzwerk eingerichtet ist, um dieses kundenzertifikat zu unterstützen.   Alternativ ist ein Client-CERT möglicherweise nicht notwendig und kann auch in einer Multi-User-Umgebung nicht ratsam sein.  Es kann besser sein, ein Zertifikats Profil mit der CA zu verwenden, mit dem jedes Benutzerzertifikat unterzeichnet wird, so dass jeder Nutzer ein einzigartiges Zertifikat vom CA.
    Portal. pngglobalprotect Portal erhalten kann und erhält.
  5. In der Registerkarte Client-Konfiguration deaktivieren Sie SSO.
    Screenshot 2013-06-24 um 8.23.43 Uhr. png
  6. Installieren Sie die Root und die Client-Zertifikate in der Maschine local Store des Client-PCs.
    Hinweis: beim Export des Client-Maschinen Zertifikats aus dem Palo Alto Networks-Gerät muss es im PKCS12-Format sein.
    localstore. png
  7. Installieren Sie das Client-Zertifikat im persönlichen Shop des Nutzers.
    userstore. png
  8. Im GlobalProtect-Client ist es nicht notwendig, den BenutzerNamen und das Passwort einzugeben:
    gp_nouser. png
  9. Die Konfiguration auf der Firewall zu übertragen. Der GlobalProtect-Client wird automatisch mit dem Gateway verbunden.
    Die entfernten Benutzer für das Gateway werden angezeigt, wenn sich das Client-Zertifikat einloggt.
    clientcert_auth. png

Besitzer: pvermuri
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFACA0&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language