如何仅使用证书配置 GlobalProtect 进行身份验证

概述

本文档介绍仅使用证书配置 GlobalProtect 进行身份验证的步骤, 而不提示用户登录。

步骤

1. 在设备 > 证书管理 > 证书配置文件下创建证书配置文件。
   确保用户名字段设置为 "主题", 右侧的灰色区域显示 "公用名称"。在 ca 证书下添加根 CA。
   证书配置文件
2. 下图显示了创建的证书:
   证书
3. 配置 GlobalProtect 网关。
   将身份验证配置文件设置为 "无", 并选择 "证书配置文件" 设置为上面步骤1中创建的模板。
   GlobalProtect 网关
4. 配置 GlobalProtect 门户
   设置身份验证配置文件设置为 None. 选择客户端证书和证书配置文件。
   注意: 如果防火墙生成客户端证书, 则假定在网络上设置了证书基础结构以支持该客户端证书.   或者, 客户端证书可能不是必需的, 在多用户环境中也可能不可取。  最好将证书配置文件与 ca 一起使用, 用于对每个用户的证书进行签名, 以便每个用户都可以并且将从 ca.
   GlobalProtect 门户 获得唯一证书。
5. 在 "客户端配置" 选项卡中, 禁用 SSO。
   
6. 在客户端 PC 的计算机本地存储区中安装根目录和客户端证书。
   注意:当从帕洛阿尔托网络设备导出客户端机器证书时, 它需要以 PKCS12 格式.
   
7. 在用户个人存储区中安装客户端证书。
   
8. 在 GlobalProtect 客户端中, 无需输入用户名和密码:
   
9. 在防火墙上提交配置。GlobalProtect 客户端将自动连接到网关。
   网关的远程用户将显示为登录的客户端证书。
   

所有者: pvermuri