Configuración del certificado para GlobalProtect - (SSL/, perfiles de certificado de cliente, certificado de cliente/TLSequipo)

En este documento se describen los conceptos básicos de la configuración de certificados en GlobalProtect el programa de instalación. Tenga en cuenta que puede haber otras maneras de implementar certificados para GlobalProtect los que no están cubiertos en este documento.

 

A. SSL/ TLS perfil de servicio: especifica el certificado del servidor de portal/puerta de enlace, cada portal/puerta de enlace necesita uno.

B. Perfil de certificado (si existe) - Utilizado por portal/puerta de enlace para solicitar el certificado de cliente/máquina

C. Instalación de cert de cliente/máquina en el cliente final

 

A. SSL/ TLS perfil de servicio

En el contexto de GlobalProtect , este perfil se utiliza para especificar el GlobalProtect "certificado de servidor" del portal/puerta de enlace y el / "intervalo de versiones de SSL TLS protocolo". Si la misma interfaz sirve como portal y puerta de enlace, puede utilizar el mismo SSL / perfil para el portal / puerta de TLS enlace. Si el portal/puerta de enlace se sirve a través de interfaces diferentes, puede utilizar el mismo SSL / perfil siempre y cuando el certificado incluya tanto TLS IPs/FQDN del portal/puerta de enlace en su nombre alternativo de asunto( SAN ), si no, crear perfiles diferentes para portales y puertas de enlace según sea necesario.

 

El requisito previo para crear SSL / perfil es generar / importar el portal / puerta de enlace TLS "certificado de servidor" y su cadena

• Para importar un certificado generado externamente,vaya a Device>Certificate Management>Certificates y haga clic en 'import' en la parte inferior.
• Para generar un certificado en el firewall, vaya a Device>Certificate Management>Certificates y haga clic en 'generate' en la parte inferior.

 

Si el certificado de servidor está firmado por un tercero conocido CA o por un servidor interno PKI

1. Importe la raíz CA (la clave privada es opcional)

2. Importe CA intermedias si las hay (la clave privada es opcional)

3. Importe el certificado de servidor firmado por las CA anteriores "con" clave privada.

 

IMPORTANT!

• El nombre alternativo del sujeto (SAN) debe existir con al menos una entrada y el o FQDN que se utiliza para el IP portal/puerta de enlace "debe" ser una de las entradas de esa SAN lista.
• Si el SAN no tiene la entrada anterior, la validación del certificado fallará en la puerta de enlace y hará que la conexión falle.
• No debe ser de tipo CA . Debe ser de tipo de entidad final.
• Como una buena práctica, es mejor usar FQDN en lugar de IP . Mantenga esto coherente a través de la configuración y también eduque a los usuarios finales para que utilicen esto FQDN / en el campo del portal del IP GlobalProtect cliente. Eg. si se puede llegar al portal/puerta de enlace en fqdn 'vpn.xyz.com' o IP 1.1.1.1; y si el certificado hace referencia al fqdn 'vpn.xyz.com', los usuarios 'deben' utilizar 'vpn.xyz.com' en lugar de '1.1.1.1'.

 

4. SSL / TLS perfil

(Ubicación: Dispositivo> Gestión de certificados> SSL / TLS Perfil de servicio)

-Nombre - Dar cualquier nombre para este perfil

-Certificado - Haga referencia al certificado del servidor del paso 3

-Configuración de protocolo: seleccione las versiones mínima y máxima de ssl/tls para la transacción ssl entre el cliente y el servidor

 
 

5. Haga referencia a esto SSL / perfil en portal / puerta de enlace según sea TLS necesario.

 

Si el certificado de servidor necesita ser generado en las redes de Palo Altofirewall

1. Genere un certificado raíz con el nombre común de cualquier valor único. (que no sea IP o FQDN del portal/puerta de enlace)

 (Ubicación: >Gestificar administración>Certificates, haga clic en Generar en la parte inferior de la pantalla)

 

2. (opcional) Generar un certificado intermedio firmado por el certificado raíz anterior. Especifique su nombre común como cualquier valor único. (distinto IP o FQDN del portal/puerta de enlace)

 
 

3. Genere un certificado de servidor firmado por el certificado intermedio anterior.

Un. El nombre común de este certificado 'must' coincide con el de portal/gateway IP o si el nombre alternativo del FQDN subj( SAN ) no existe en este certificado. En PAN firewalls, SAN se pueden crear bajo los 'atributos de certificado' opcionales de tipo 'nombre de host', ' ' o IP 'email'.

B. Si SAN existe con una entrada al menos, el portal o puerta de enlace IP FQDN 'debe' estar presente en esa SAN lista.

c. No debe ser un archivo CA .

d. Como una buena práctica, es mejor usar FQDN en lugar de IP . Mantenga esto coherente a través de la configuración y también eduque a los usuarios finales para que utilicen esto FQDN / en el campo del portal del IP GlobalProtect cliente. Por ejemplo. si se puede llegar al portal/puerta de enlace en fqdn 'vpn.xyz.com' o IP 1.1.1.1; y el certificado hace referencia al fqdn 'vpn.xyz.com', los usuarios 'deben' utilizar 'vpn.xyz.com' en lugar de '1.1.1.1'.

 

 

 

4. SSL / TLS perfil

(Ubicación: Dispositivo> Gestión de certificados> SSL / TLS Perfil de servicio)

•     Nombre - Dar cualquier nombre para este perfil
•     Certificado - Haga referencia al certificado del servidor del paso 3
•     Configuración del protocolo: seleccione las versiones mínima y máxima de ssl/tls para la transacción ssl entre el cliente y el servidor

 

 5. Haga referencia a esto SSL / perfil en portal / puerta de enlace según sea TLS necesario.

 

B. Perfil del certificado

(Ubicación: >gestión de certificados de dispositivo>ifictuado)

Perfil de certificado especifica una lista de CAs y CAs intermedio. Cuando este perfil de certificado se aplica a la configuración, el portal/puerta de enlace enviará una solicitud de certificado de cliente al cliente para solicitar un certificado de cliente/máquina firmado por el CA /intermediate CA especificado en el perfil de certificado. Se recomienda colocar los CA raíz e intermedios en este perfil, en lugar de simplemente CA rootear.

  

IMPORTANT!
-Certificado de cliente se refiere al certificado de usuario,se puede utilizar para los métodos de conexión 'user-logon'/'on-demand'. Se utiliza para autenticar a un usuario.
-Certificado de máquina se refiere a certificado de dispositivo,se puede utilizar para el método de conexión 'antes del inicio de sesión'. Esto se usa para autenticar un dispositivo, no un usuario.

 

1. Importe la CA "Raíz" que firmó el certificado cliente/máquina en certificados de > de > de administración de certificados (clave privada opcional)
2. Importe los "CA intermedios" si los hubiera que firmaron el certificado cliente/máquina en device > Certificate Management > Certificates (clave privada opcional)
3. Vaya a Administración de certificados de > dispositivo > perfil de certificado, haga clic en Agregar.
4. Asigne un nombre al perfil.
5. Añadir la raíz y CAs intermedio del paso 1 & 2.

 

6. Nota:El campo Nombre de usuario por abandono se establece en 'Ninguno', en una configuración típica donde el nombre de usuario se extrae de LDAP / RADIUS autenticación, usted puede dejar esto a ninguno. Por otro lado, si los certificados son el único método de autenticación, es decir, si usted no tiene / para la autenticación del portal / puerta de enlace entonces usted debe cambiar el RADIUS campo del nombre de usuario de ninguno a LDAP 'Subj' o 'Subj Alt' para extraer el nombre de usuario del nombre común del certificado de cliente o el nombre común del correo electrónico / nombre principal. No hacer esto resultará en una falta de confirmación.

7. (opcional) Compruebe CRL o OCSP si el portal/puerta de enlace necesita verificar el estado de revocación del cliente/equipo mediante CRL o OCSP . Utilice esto con precaución ya que puede causar clientes pudiendo conectar si utiliza junto con 'Sesión de bloque si el estado del certificado es desconocida'.

 

8. Haga referencia a este portal/puerta de enlace del perfil de certificado según sea necesario.

 

C. Instalación de cert de cliente/máquina en el cliente final

 

Al importar un certificado cliente/máquina, impórtelo en PKCS formato que contendrá su clave privada.

 

Ventanas -

1. Haga clic en Inicio>Run, escriba mmc para abrir la consola de administración de certificados de Microsoft.

 

2. Vaya a > Agregar o quitar complemento:

 

 

 

 

IMPORTANT!

3. Haga clic en Certificados>Agregar y seleccione uno o ambos de los siguientes:

 

Un. Para agregar el certificado client(user), seleccione 'Mi cuenta de usuario'. Esto se utiliza para 'user-logon' y 'on-demand' ya que autentica a un usuario.

B. Para agregar el certificado de máquina (dispositivo), seleccione 'Cuenta de equipo'. Esto se utiliza para 'pre-logon' ya que autentica una máquina.

 

 

 

 

 

4. Importe el certificado de cliente/máquina en mmc.

Un. Si va a importar un certificado de cliente, impórtelo a la carpeta 'Personal' en 'Mi cuenta de usuario'

B. Si va a importar el certificador de máquina, impórtelo a la carpeta 'Personal' en 'Cuenta de equipo'

 

 

 

5. Importe de manera similar la Raíz CA en las «Entidades de certificación raíz de confianza y cas intermedias(si las hubiera) en las «Autoridades intermedias de certificación»

 

 

IMPORTANT!

6. Una vez importado, haga doble clic en el certificado de cliente/máquina importado para asegurarse de que

Un. Tiene clave privada

B. Su cadena de certificados está llena hasta su CA raíz. Si falta la cadena raíz CA o CA intermedia, impórtelas a sus respectivas carpetas como se explica en el paso 5.

 

 

 

 

7. En este momento, los certificados se importan en el cliente, por lo que puede cerrar la consola de mmc sin guardarla.



macOS
 

1. Abra acceso a llaves y vaya a los llaveros del sistema:

2. Asegúrese de que todas las aplicaciones tengan acceso a las claves privadas del dispositivo y a los CA certificados raíz: