証明書のみを使用して認証用に GlobalProtect を構成する方法

概要

このドキュメントでは、ユーザーがログインを求められることなく、証明書のみを使用して認証用に GlobalProtect を構成する手順について説明します。

手順

1. [デバイス] > [証明書管理] > [証明書プロファイル] の下に証明書プロファイルを作成します。
   ユーザー名フィールドが ' Subject ' に設定されていることを確認し、それの右側にある灰色の領域は、"共通名" を示しています。ca 証明書の下にルート ca を追加します。
   証明書プロファイル
2. 以下の画像は、作成された証明書を示しています。
   
3. GlobalProtect ゲートウェイを構成します。[
   認証プロファイル] を [なし] に設定し、上記の手順1で作成した証明書プロファイルセットを選択します。
   GlobalProtect ゲートウェイ
4. GlobalProtect ポータルを構成する
   認証プロファイルセットを None に設定します。クライアント証明書と証明書プロファイルを選択します。
   注:ファイアウォールでクライアント証明書を生成するには、そのクライアント証明書をサポートするために証明書インフラストラクチャがネットワーク上にセットアップされていることを前提とします。  また、クライアント証明書は不要であり、マルチユーザー環境では推奨されない場合もあります。  各ユーザーの証明書に署名するために使用される ca と共に証明書プロファイルを使用して、各ユーザーが ca から一意の証明書を受け取ることができるようにするとよいでしょう。
   GlobalProtect ポータル
5. [クライアントの構成] タブで、SSO を無効にします。
   
6. クライアント PC のコンピュータローカルストアに、ルートとクライアント証明書をインストールします。
   注:パロアルトネットワークデバイスからクライアントマシン証明書をエクスポートする場合は、PKCS12 形式である必要があります。
   
7. ユーザー個人ストアにクライアント証明書をインストールします。
   
8. GlobalProtect クライアントでは、ユーザー名とパスワードを入力する必要はありません。
   
9. ファイアウォールの構成をコミットします。GlobalProtect クライアントは自動的にゲートウェイに接続します。
   ゲートウェイのリモートユーザーは、クライアント証明書のログインとして表示されます。
   

所有者: pvermuri