Zertifikatskonfiguration für GlobalProtect - (SSL/, Clientzertifikatprofile, Client/TLSComputerzertifikat)

In diesem Dokument werden die Grundlagen der Konfiguration von Zertifikaten im GlobalProtect Setup beschrieben. Bitte beachten Sie, dass es andere Möglichkeiten zum Bereitstellen von Zertifikaten GlobalProtect gibt, für die in diesem Dokument nicht behandelt wird.

 

A. SSL/ TLS Dienstprofil - Gibt Portal/Gateway-Server-Zertifikat an, jedes Portal/Gateway benötigt eins.

B. Zertifikatprofil (falls vorhanden) - Wird vom Portal/Gateway verwendet, um Client/Machine-Zertifikat anzufordern

C. Installieren des Client/Maschinenzertifikats im Endclient

 

A. SSL/ TLS Dienstprofil

Im Kontext von GlobalProtect wird dieses Profil verwendet, um das GlobalProtect "Serverzertifikat" des Portals/Gateways und den SSL TLS /"Protokollversionsbereich" anzugeben. Wenn dieselbe Schnittstelle sowohl als Portal als auch als Gateway dient, können Sie dasselbe SSL TLS /Profil für beide Portale/Gateways verwenden. Wenn Portal/Gateway über verschiedene Schnittstellen bedient werden, können Sie dasselbe /Profil verwenden, SSL solange das Zertifikat beide TLS Portal-/Gateway-IPs/FQDNs in seinen alternativen Antragstellernamen( einschließt, wenn nicht, erstellen Sie SAN bei Bedarf unterschiedliche Profile für Portale und Gateways.

 

Voraussetzung für das SSL Erstellen/Profil ist entweder TLS das Portal/Gateway -zertifikat und seine Kette

• Um ein extern generiertes Zertifikatzu importieren, navigieren Sie zu Device>Certificate Management>Certificates und klicken Sie unten auf 'Importieren'.
• Um ein Zertifikat auf der zu generieren, firewallnavigieren Sie zu Device>Certificate Management>Certificates und klicken Sie unten auf 'generieren'.

 

Wenn das Serverzertifikat von einem bekannten Drittanbieter CA oder einem internen Server signiert wird PKI

1. Importieren Sie den Stamm CA (privater Schlüssel ist optional)

2. Importieren Sie Zwischenzertifizierungsstellen, falls vorhanden (privater Schlüssel ist optional)

3. Importieren Sie das Serverzertifikat, das von den oben genannten Zertifizierungsstellen "mit" privatem Schlüssel signiert wurde.

 

IMPORTANT!

• Der alternative Antragstellername (SAN) sollte mindestens einen Eintrag enthalten, und das IP für Portal/Gateway verwendete oder FQDN muss einer der Einträge in dieser SAN Liste sein.
• Wenn der SAN obige Eintrag nicht vorhanden ist, schlägt die Zertifikatsüberprüfung auf dem Gateway fehl und führt dazu, dass die Verbindung fehlschlägt.
• Sollte nicht vom Typ CA sein. Es muss vom Typ End-Entität sein.
• Als bewährte Praxis ist es besser, anstelle von zu FQDN IP verwenden. Halten Sie dies in der gesamten Konfiguration konsistent und schulen Sie auch die Endbenutzer dazu auf, diese / im Portalfeld des Clients zu FQDN IP GlobalProtect verwenden. Zb. wenn Portal/Gateway unter fqdn 'vpn.xyz.com' oder IP 1.1.1.1 erreicht werden können und wenn das Zertifikat auf die fqdn 'vpn.xyz.com' verweist, dann müssen die Benutzer 'vpn.xyz.com' anstelle von '1.1.1.1' verwenden.

 

4. SSL / TLS Profil

(Standort: Device>Zertifikatverwaltung> SSL / TLS Dienstprofil)

-Name - Geben Sie einen beliebigen Namen für dieses Profil

-Zertifikat - Referenz des Serverzertifikats aus Schritt 3

-Protokolleinstellungen - Wählen Sie die minimalen und maximalen Versionen von ssl/tls für die ssl-Transaktion zwischen Client und Server

 
 

5. Verweisen Sie dieses SSL / TLS Profil in Portal/Gateway nach Bedarf.

 

Wenn das Serverzertifikat in den Palo Alto Networks generiert werden mussfirewall

1. Generieren Sie ein Stammzertifikat mit einem gemeinsamen Namen eines eindeutigen Wertes. (außer IP oder FQDN von Portal/Gateway)

 (Standort: Device>Zertifikatsverwaltung>Zertifikate klicken Sie unten auf dem Bildschirm auf Generieren)

 

2. (optional) Generieren Sie ein Zwischenzertifikat, das von oben signierten Root-Zertifikat signiert wurde. Geben Sie den allgemeinen Namen als eindeutigen Wert an. (außer IP oder FQDN von Portal/Gateway)

 
 

3. Generieren Sie ein sever-Zertifikat, das durch das obige Zwischenzertifikat signiert ist.

Eine. Der allgemeine Name dieses Zertifikats "muss" mit dem des Portals/Gateways IP übereinstimmen, oder FQDN wenn subj alt name( SAN ) in diesem Zertifikat nicht vorhanden ist. In PAN Firewalls SAN kann unter den optionalen 'Zertifikatsattributen' vom Typ 'hostname', ' IP ' oder 'email' erstellt werden.

B. Wenn SAN mindestens ein Eintrag vorhanden ist, muss die oder für IP FQDN portal/gateway 'muss' in dieser Liste vorhanden SAN sein.

c. Sollte kein CA .

d. Als gute Praxis ist es besser, anstelle von zu FQDN IP verwenden. Halten Sie dies in der gesamten Konfiguration konsistent und schulen Sie auch die Endbenutzer dazu auf, diese / im Portalfeld des Clients zu FQDN IP GlobalProtect verwenden. Zum Beispiel. Wenn das Portal/Gateway unter fqdn 'vpn.xyz.com' oder IP 1.1.1.1 erreicht werden kann und das Zertifikat auf die fqdn 'vpn.xyz.com' verweist, müssen die Benutzer 'vpn.xyz.com' anstelle von '1.1.1.1' verwenden.

 

 

 

4. SSL / TLS Profil

(Standort: Device>Zertifikatverwaltung> SSL / TLS Dienstprofil)

•     Name - Geben Sie einen beliebigen Namen für dieses Profil an
•     Zertifikat - Referenz des Serverzertifikats aus Schritt 3
•     Protokolleinstellungen - Wählen Sie die minimalen und maximalen Versionen von ssl/tls für die ssl-Transaktion zwischen Client und Server aus.

 

 5. Verweisen Sie bei Bedarf auf dieses SSL / TLS Profil im Portal/Gateway.

 

B. Zertifikatprofil

(Standort: Device>Zertifikatverwaltung>Zertifikatprofil)

Zeugnisvorlage gibt eine Liste der Zertifizierungsstellen und Zwischenzertifizierungsstellen. Wenn dieses Zertifikatprofil auf die Konfiguration angewendet wird, sendet das Portal/Gateway eine Clientzertifikatanforderung an den Client, um ein Client-/Maschinenzertifikat anzufordern, das durch das CA im Zertifikatsprofil angegebene /intermediate signiert CA ist. Es wird empfohlen, sowohl die Stamm- als auch die Zwischenzertifizierungsstellen in diesem Profil zu platzieren, anstatt nur root CA .

  

IMPORTANT!
-Clientzertifikat bezieht sich auf Benutzer zertifikat, es kann für 'user-logon'/'on-demand' Verbindungsmethoden verwendet werden. Wird verwendet, um einen Benutzer zu authentifizieren.
-Maschinenzertifikat bezieht sich auf Gerät cert, es kann für "Pre-Logon" Connect-Methode verwendet werden. Dies wird verwendet, um ein Gerät zu authentifizieren, nicht einen Benutzer.

 

1. Importieren Sie den CA "Stamm", der das Client/Computerzertifikat signiert hat, in Device > Certificate Management > Certificates (optionaler privater Schlüssel)
2. Importieren Sie die "Zwischenzertifizierungsstellen", wenn alle, die das Client/Maschinenzertifikat signiert haben, in Device > Certificate Management > Certificates (optionaler privater Schlüssel)
3. Wechseln Sie zu Device > Certificate Management > Certificate Profile, klicken Sie auf Hinzufügen.
4. Geben Sie dem Profil einen Namen.
5. Fügen Sie die Wurzel und Zwischenzertifizierungsstellen aus Schritt 1 & 2.

 

6. Hinweis: Benutzername Feld ist standardmäßig auf 'Keine' gesetzt, in einem typischen Setup, in dem Benutzername aus gezogen wird LDAP / RADIUS Authentifizierung, können Sie dies zu keinem verlassen. Wenn Zertifikate hingegen die einzige Authentifizierungsmethode sind, d. h., wenn Sie / für die Portal-/Gateway-Authentifizierung nicht haben, müssen Sie das RADIUS LDAP Benutzernamefeld von "subj" oder "Subj Alt" ändern, um den Benutzernamen aus dem gemeinsamen Namen des Clientzertifikats oder den gemeinsamen E-Mail-/Prinzipalnamen zu extrahieren. Andernfalls wird ein Commit-Ausfall führen.

7. (optional) Prüfen CRL Oder OCSP ob das Portal/Gateway den Sperrstatus des Client/Maschinenzertifikats mithilfe von oder überprüfen muss. CRL OCSP Bitte verwenden Sie diese mit Vorsicht, da es in Verbindung, wenn verwendet in Verbindung mit "Block-Sitzung wenn Zertifikatsstatus unbekannt ist"-Clients führen kann.

 

8. Verweisen Sie bei Bedarf auf dieses Zertifikatprofilportal/-gateway.

 

C. Installieren des Client/Maschinenzertifikats im Endclient

 

Importieren Sie beim Importieren eines Client-/Computerzertifikats das Zertifikat in PKCS einem Format, das seinen privaten Schlüsselenthält.

 

Windows -

1. Klicken Sie auf Start>Run, geben Sie mmc ein, um die Microsoft-Zertifikatverwaltungskonsole zu öffnen.

 

2. Gehen Sie zu Datei > Snap-in hinzufügen/entfernen:

 

 

 

 

IMPORTANT!

3. Klicken Sie auf Zertifikate>Hinzufügen und Wählen Sie eine oder beide der folgenden:

 

Eine. Um ein Client-(Benutzer-)Zertifikat hinzuzufügen, wählen Sie "Mein Benutzerkonto". Dies wird für 'user-logon' und 'on-demand' verwendet, da es einen Benutzer authentifiziert.

B. Um ein Computer-(Geräte-)Zertifikat hinzuzufügen, wählen Sie 'Computerkonto'. Dies wird für 'Pre-Logon' verwendet, da es einen Computer authentifiziert.

 

 

 

 

 

4. Importieren Sie das Client-/Maschinenzertifikat in mmc.

Eine. Wenn Sie das Clientzertifikat importieren, importieren Sie es in den Ordner "Persönlich" unter "Mein Benutzerkonto"

B. Wenn Sie Maschinenzertifikat importieren, importieren Sie es in den Ordner "Persönlich" unter "Computerkonto"

 

 

 

5. Importieren Sie den Stamm in CA die "Trusted Root Certificate Authorities and Intermediate CAs(falls vorhanden) in den "Zwischenzertifizierungsstellen"

 

 

IMPORTANT!

6. Doppelklicken Sie nach dem Import auf das importierte Client-/Maschinenzertifikat, um

Eine. Es hat privaten Schlüssel

B. Seine Zertifikatskette ist bis zum Stamm CA vollständig. Wenn der Kette Root CA oder Intermediate CA fehlt, importieren Sie sie in ihre jeweiligen Ordner, wie in Schritt 5 erläutert.

 

 

 

 

7. An diesem Punkt werden die Zertifikate auf dem Client importiert, sodass Sie die mmc-Konsole schließen können, ohne sie zu speichern.



macOS
 

1. Öffnen Sie den Schlüsselanhänger-Zugang und gehen Sie zum System keychains:

2. Stellen Sie sicher, dass alle Anwendungen Zugriff auf die privaten Schlüssel des Geräts und die CA Root-Zertifizierungen haben: