Configuration du certificat pour GlobalProtect - (/TLSSSL, Profils de certificat client, certificat client/machine)

Ce document décrit les bases de la configuration des certificats dans GlobalProtect l’installation. Veuillez noter qu’il peut y avoir d’autres moyens de déployer des certificats GlobalProtect pour lesquels ils ne sont pas couverts par ce document.

 

A. SSL/ TLS profil de service - Spécifie portal/gateway server cert, chaque portail/passerelle en a besoin.

B. Profil du certificat (le cas échéant) - Utilisé par portail/passerelle pour demander un certificat client/machine

C. Installation de cert client/machine dans le client final

 

A. SSL/ TLS profil de service

Dans le contexte de GlobalProtect , ce profil est utilisé pour GlobalProtect spécifier le portail / passerelle « certificat serveur » et la SSL / TLS « gamme de version de protocole ». Si la même interface sert à la fois de portail et de passerelle, vous pouvez utiliser le SSL même / profil pour les deux portail / TLS passerelle. Si le portail/passerelle est servi par différentes interfaces, vous pouvez utiliser SSL le même / profil tant que le certificat inclut à la fois portail / passerelle TLS IPs / FQDNs dans son nom alternatif objet ( SAN ), sinon, créer des profils différents pour les portails et les passerelles au besoin.

 

La pré-requis pour créer SSL / profil est soit de générer / importer le portail / passerelle TLS « certificat serveur » et sa chaîne

• Pour importer un certificat généré à l’extérieur,accédez à Device>Certificate Management>Certificates et cliquez sur 'import'en bas.
• Pour générer un certificat sur le firewall, naviguer vers device>Certificate Management>Certificates et cliquez sur 'générer' en bas.

 

Si le cert du serveur est signé par un tiers bien CA connu ou par un serveur PKI interne

1. Importer la racine CA (clé privée est facultative)

2. Importer des CA intermédiaires le cas échéant (la clé privée est facultative)

3. Importez le serveur cert signé par les CA ci-dessus « avec » clé privée.

 

IMPORTANT!

• L'autre nom de l'objet (SAN) doit exister avec au moins une entrée et le ou FQDN utilisé pour le IP portail/portail « doit » être l'une des entrées de cette SAN liste.
• Si le n’a pas l’entrée ci-dessus, la validation du certificat échouera sur la passerelle et entraînera l’échec SAN de la connexion.
• Ne doit pas être de type CA . Il doit être de type entité finale.
• Comme une bonne pratique, il est préférable d’utiliser FQDN au lieu de IP . Gardez cela cohérent à travers la configuration et aussi éduquer les utilisateurs finaux à utiliser FQDN ce / dans le champ portail du IP GlobalProtect client. Eg. si le portail/passerelle peut être atteint à fqdn 'vpn.xyz.com' IP ou 1.1.1.1; et si le certificat fait référence au fqdn 'vpn.xyz.com', alors les utilisateurs 'doivent' utiliser 'vpn.xyz.com' au lieu de '1.1.1.1'.

 

4. SSL / TLS profil

(Lieu: Device>Certificate Management> / SSL Profil TLS de service)

-Nom - Donner n’importe quel nom pour ce profil

-Certificat - Référence du serveur cert de l’étape 3

-Paramètres de protocole - Sélectionnez les versions minimales et maximales de ssl/tls pour la transaction ssl entre le client et le serveur

 
 

5. Référencez ce SSL / profil dans le portail / passerelle au TLS besoin.

 

Si le serveur cert doit être généré sur les réseaux de Palo Altofirewall

1. Générer une racine cert avec le nom commun de n’importe quelle valeur unique. (autre que IP ou FQDN du portail/passerelle)

 (Lieu: Device>Certificate Management>Certificates cliquez sur Générer en bas de l’écran)

 

2. (facultatif) Générer un cert intermédiaire signé par cert racine ci-dessus. Spécifiez son nom commun comme n’importe quelle valeur unique. (autre que IP ou FQDN de portail/passerelle)

 
 

3. Générer un cert de rupture signé par le cert intermédiaire ci-dessus.

Un. Le nom commun de cert « doit » correspondre au portail / passerelle ou si IP FQDN le nom alt subj ( ) SAN n’existe pas dans ce cert. Dans PAN les pare-feu, SAN peut être créé sous les attributs optionnels « certificat » de type « nom d’hôte », IP « ou « e-mail ».

B. SAN S’il existe avec atleast une entrée, alors IP le ou étant utilisé pour portail / passerelle FQDN « doit » être présent dans cette SAN liste.

c. Ne devrait pas être un CA .

d. Comme une bonne pratique, il est préférable d’utiliser au FQDN lieu de IP . Gardez cela cohérent à travers la configuration et aussi éduquer les utilisateurs finaux à utiliser FQDN ce / dans le champ portail du IP GlobalProtect client. Par exemple. si le portail/passerelle peut être atteint à fqdn 'vpn.xyz.com' ou IP 1.1.1.1; et que le certificat fait référence au fqdn 'vpn.xyz.com', les utilisateurs 'doivent' utiliser 'vpn.xyz.com' au lieu de '1.1.1.1'.

 

 

 

4. SSL / TLS profil

(Lieu: Device>Certificate Management> / SSL Profil TLS de service)

•     Nom - Donner n’importe quel nom pour ce profil
•     Certificat - Référence du serveur cert de l’étape 3
•     Paramètres du protocole - Sélectionnez les versions minimales et maximales de ssl/tls pour la transaction ssl entre le client et le serveur

 

 5. Référencez ce SSL / profil dans le portail / passerelle au TLS besoin.

 

B. Profil du certificat

(Lieu: Device>Certificate Management>Certificate Profile)

Profil de certificat spécifie une liste de CAs et des autorités de certification intermédiaires. Lorsque ce profil de certificat est appliqué au config, le portail/passerelle enverra une demande de certificat client au client pour demander un cert client/machine signé par CA le /intermédiaire CA spécifié dans le profil cert. Il est recommandé de placer à la fois la racine et les CA intermédiaires dans ce profil, au lieu de simplement racine CA .

  

IMPORTANT!
-Certificat client se réfère à l’utilisateur cert, il peut être utilisé pour « user-logon'/'on-demand' connect méthodes. Utilisé pour authentifier un utilisateur.
-Certificat machine se réfère à l’appareil cert, il peut être utilisé pour « pré-logon méthode de connexion. Ceci est utilisé pour authentifier un appareil, pas un utilisateur.

 

1. Importer la « Racine » qui a signé le CA cert client/machine dans device > Certificate Management > Certificates (clé privée optionnelle)
2. Importez les « CA intermédiaires » s’ils ont signé le cert client/machine dans device > Certificate Management > Certificates (clé privée facultative)
3. Aller à Device > Certificate Management > Certificate Profile, cliquez sur Ajouter.
4. Donnez un nom au profil.
5. Ajouter la racine et les autorités de certification intermédiaires de l’étape 1 et 2.

 

6. Remarque: Le champ nom d’utilisateur par défaut est défini sur « Aucun », dans une configuration typique où le nom d’utilisateur est tiré LDAP de / RADIUS authentification, vous pouvez laisser cela à aucun. D’autre part, si les certificats sont la seule méthode d’authentification, c’est-à-dire si vous n’avez RADIUS pas / pour LDAP l’authentification portail / passerelle, alors vous devez changer le champ nom d’utilisateur de aucun à « Subj » ou « Subj Alt » pour extraire le nom d’utilisateur du nom commun du certificat client ou e-mail / nom principal. Faute de quoi cela se traduira par un échec de validation.

7. (facultatif) Vérifiez CRL ou OCSP si le portail/passerelle doit vérifier l’état de révocation du client/machine cert à l’aide CRL ou OCSP . S’il vous plaît utilisez-le avec prudence car elle peut entraîner chez les clients de ne pas se connecter si utilisé en conjonction avec « Session de bloc si le statut du certificat est inconnu ».

 

8. Référencez ce portail/passerelle de profil de certificat au besoin.

 

C. Installation de cert client/machine dans le client final

 

Lors de l’importation d’un certificat client/machine, PKCS importez-le dans un format qui contiendra sa clé privée.

 

Fenêtres -

1. Cliquez sur Démarrer>Run, type mmc pour ouvrir la console de gestion de certificat Microsoft.

 

2. Passez au fichier > ajouter/supprimer snap-in:

 

 

 

 

IMPORTANT!

3. Cliquez sur certificats>Add et sélectionnez l’un ou les deux de ce qui ci-dessous:

 

Un. Pour ajouter le certificat client(utilisateur), sélectionnez «Mon compte utilisateur». Ceci est utilisé pour «user-logon» et «on-demand » puisqu’il authentifie un utilisateur.

B. Pour ajouter le certificat machine(appareil), sélectionnez «Compte informatique». Ceci est utilisé pour «pré-logon » caril authentifie une machine.

 

 

 

 

 

4. Importer le certificat client/machine en mmc.

Un. Si vous importez un certificat client, importez-le dans le dossier « Personnel » sous « Mon compte d’utilisateur »

B. Si vous importez de la machine certificarte, importez-la dans le dossier « Personnel » sous « Compte informatique »

 

 

 

5. Importent également la racine CA dans les « autorités de certificat racine de confiance et les CA intermédiaires (le cas échéant) dans les « autorités de certification intermédiaire »

 

 

IMPORTANT!

6. Une fois importé, cliquez deux fois sur le certificat client/machine importé pour vous assurer

Un. Il a la clé privée

B. Sa chaîne de certificats est pleine à sa CA racine. Si la chaîne manque racine ou CA CA intermédiaire, importez-les dans leurs dossiers respectifs comme expliqué dans l’étape 5.

 

 

 

 

7. À ce stade, les certificats sont importés sur le client, de sorte que vous pouvez fermer la console mmc sans l’enregistrer.



macOS (en)
 

1. Ouvrez le trousseau d'accès et accédez au trousseau du système:

2. Assurez-vous que toutes les applications ont accès aux clés privées de l’appareil et aux CA certs Root :