の証明書設定GlobalProtect- (SSL /TLS 、クライアント証明書プロファイル、クライアント/マシン証明書)
Environment
グローバル保護設定
Resolution
このドキュメントでは、証明書の構成の基本について説明します。GlobalProtect設定。 の証明書を展開する方法は他にもあることに注意してください。GlobalProtectこれは、このドキュメントではカバーされていません。
A.SSL /TLSサービス プロファイル- ポータル/ゲートウェイ サーバー証明書を指定します。すべてのポータル/ゲートウェイに必要です。
B.証明書プロファイル (ある場合) - ポータル/ゲートウェイがクライアント/マシン証明書を要求するために使用
C.エンド クライアントにクライアント/マシン証明書をインストールする
A.SSL /TLSサービス プロファイル
の文脈ではGlobalProtect、このプロファイルは指定するために使用されますGlobalProtectポータル/ゲートウェイの「サーバー証明書」とSSL/TLS 「プロトコルバージョン範囲」。 同じインターフェイスがポータルとゲートウェイの両方として機能する場合は、同じものを使用できますSSL/TLSポータル/ゲートウェイの両方のプロファイル。 ポータル/ゲートウェイが異なるインターフェイスを介して提供されている場合は、同じものを使用できますSSL/TLS証明書のサブジェクト代替名にポータル/ゲートウェイ IP/FQDN の両方が含まれている限り、プロファイルSAN)、そうでない場合は、必要に応じてポータルとゲートウェイに別のプロファイルを作成します。
作成するための前提条件SSL/TLSプロファイルは、ポータル/ゲートウェイの「サーバー証明書」とそのチェーンを生成/インポートします
- に外部で生成された証明書をインポートする、 案内するデバイス > 証明書の管理 > 証明書をクリックして '輸入' 下部にあります。
- にで証明書を生成しますfirewall、 案内するデバイス > 証明書の管理 > 証明書とクリック '生む' 下部にあります。
サーバー証明書が有名なサードパーティによって署名されている場合CAまたは内部によってPKIサーバ
1.ルートをインポートするCA(秘密鍵はオプションです)
2. 中間 CA がある場合はインポートします (秘密鍵はオプションです)。
3. 上記の CA によって署名されたサーバー証明書を「秘密鍵付き」でインポートします。
IMPORTANT!
- サブジェクトの別名 (SAN ) 少なくとも 1 つのエントリが存在する必要があり、IPまたFQDNポータル/ゲートウェイに使用されていることは、そのエントリの 1 つでなければなりませんSANリスト。
- もしSANに上記のエントリがない場合、ゲートウェイで証明書の検証が失敗し、接続が失敗します。
- タイプであってはならないCA. タイプは end-entity でなければなりません。
- 良い習慣として、使用することをお勧めしますFQDNそれ以外のIP. 構成全体でこれを一貫した状態に保ち、これを使用するようにエンド ユーザーを教育します。FQDN /IPの中にGlobalProtectクライアントのポータル フィールド。 例えば。 fqdn「vpn.xyz.com」でポータル/ゲートウェイに到達できる場合、またはIP1.1.1.1;証明書が fqdn 'vpn.xyz.com' を参照している場合、ユーザーは '1.1.1.1' の代わりに 'vpn.xyz.com' を使用する必要があります。
4.SSL /TLSプロフィール
(位置:デバイス>証明書管理>SSL /TLSサービス プロファイル)
-名前- このプロファイルに任意の名前を付けます
-証明書- ステップ 3 のサーバー証明書を参照します。
-プロトコル設定- クライアントとサーバー間の ssl トランザクションの ssl/tls の最小および最大バージョンを選択します
5.これを参照SSL/TLS必要に応じてポータル/ゲートウェイでプロファイルします。
パロアルトネットワークでサーバー証明書を生成する必要がある場合firewall
1. 任意の一意の値の共通名を持つルート証明書を生成します。 (以外IPまたFQDNポータル/ゲートウェイの)
(位置:デバイス > 証明書の管理 > 証明書画面の下部にある [生成] をクリックします)
2. (オプション) 上記のルート証明書によって署名された中間証明書を生成します。その共通名を一意の値として指定します。 (以外IPまたFQDNポータル/ゲートウェイの)
3. 上記の中間証明書によって署名されたサーバー証明書を生成します。
を。この証明書の共通名は、ポータル/ゲートウェイのものと「一致する必要があります」IPまたFQDNサブジェクト代替名の場合(SAN ) はこの証明書に存在しません。 のPANファイアウォール、SANタイプ「ホスト名」のオプションの「証明書属性」の下に作成できます。IP 」または「電子メール」。
b.もしもSAN少なくとも 1 つのエントリが存在する場合、IPまたFQDNポータル/ゲートウェイに使用されていることは、その中に存在する必要がありますSANリスト。
c.すべきではありませんCA.
d.良い習慣として、使用することをお勧めしますFQDNそれ以外のIP. これを構成全体で一貫させ、エンド ユーザーにこれを使用するように教育します。FQDN /IPの中にGlobalProtectクライアントのポータル フィールド。 例えば。 fqdn「vpn.xyz.com」でポータル/ゲートウェイに到達できる場合、またはIP1.1.1.1;証明書が fqdn 'vpn.xyz.com' を参照している場合、ユーザーは '1.1.1.1' の代わりに 'vpn.xyz.com' を使用する必要があります。
4.SSL /TLSプロフィール
(位置:デバイス>証明書管理>SSL /TLSサービス プロファイル)
- 名前- このプロファイルに任意の名前を付けます
- 証明書- ステップ 3 のサーバー証明書を参照します。
- プロトコル設定- クライアントとサーバー間の ssl トランザクションの ssl/tls の最小および最大バージョンを選択します
5. これを参照SSL/TLS必要に応じてポータル/ゲートウェイでプロファイルします。
B.証明書プロファイル
(位置:デバイス > 証明書管理 > 証明書プロファイル)
証明書プロファイルは、CA と中間 CA のリストを指定します。 この証明書プロファイルが構成に適用されると、ポータル/ゲートウェイは、クライアント証明書要求をクライアントに送信して、証明書によって署名されたクライアント/マシン証明書を要求します。CA /中級CA証明書プロファイルで指定されています。 ルートだけではなく、ルート CA と中間 CA の両方をこのプロファイルに配置することをお勧めします。CA .
IMPORTANT!
-クライアント証明書が指すユーザー証明書、それはのために使用することができます「ユーザー ログオン」/「オンデマンド」メソッドを接続します。 慣れているユーザーを認証します。
-機械証明書が指すデバイス証明書、それはのために使用することができます「ログオン前」接続方法。 これは慣れているユーザーではなく、デバイスを認証します。
1.「ルートCA" クライアント/マシン証明書に署名したデバイス > 証明書管理 > 証明書(オプションの秘密鍵)
2. クライアント/マシン証明書に署名した「中間 CA」がある場合は、「中間 CA」をインポートします。デバイス > 証明書管理 > 証明書(オプションの秘密鍵)
3. に行くデバイス > 証明書管理 > 証明書プロファイル、 クリック追加.
4. プロファイルに名前を付けます。
5. 手順 1 と 2 のルート CA と中間 CA を追加します。
6.ノート: ユーザー名フィールドは、デフォルトで「なし」に設定されています。これは、ユーザー名が引き出される典型的なセットアップです。LDAP /RADIUS認証、これをなしのままにすることができます。 一方、証明書が認証の唯一の方法である場合、つまり、証明書を持っていない場合RADIUS/LDAPポータル/ゲートウェイ認証の場合、ユーザー名フィールドを none から 'Subj' または 'Subj Alt' に変更して、クライアント証明書の共通名または電子メール/プリンシパル名からユーザー名を抽出する必要があります。 これを行わないと、コミットが失敗します。
7. (オプション) チェックCRLまたOCSPポータル/ゲートウェイがクライアント/マシン証明書の失効ステータスを確認する必要がある場合CRLまたOCSP. これを「証明書のステータスが不明な場合はセッションをブロックする」と組み合わせて使用すると、クライアントが接続に失敗する可能性があるため、注意して使用してください。
8. 必要に応じて、この証明書プロファイル ポータル/ゲートウェイを参照します。
C.エンド クライアントにクライアント/マシン証明書をインストールする
クライアント/マシン証明書をインポートするときは、PKCSそれを含むフォーマット秘密鍵.
ウィンドウズ -
1. クリックスタート>実行、mmc と入力して Microsoft 証明書管理コンソールを開きます。
2.に行くファイル > スナップインの追加と削除:
IMPORTANT!
3. クリック証明書>追加次のいずれかまたは両方を選択します。
を。たすクライアント(ユーザー)証明書、選択 '私のユーザーアカウント'。 これは 'ユーザーログオン' と 'オンデマンドそれ以来ユーザーを認証します.
b.たすマシン(デバイス)証明書、選択 'コンピュータ アカウント'。 これは 'ログオン前'そのままマシンを認証します.
4. クライアント/マシン証明書を mmc にインポートします。
を。クライアント証明書をインポートする場合は、「マイ ユーザー アカウント」の下の「個人用」フォルダにインポートします。
b.マシン証明書をインポートする場合は、「コンピューター アカウント」の下の「個人用」フォルダーにインポートします。
5. 同様にルートをインポートします。CA 「信頼されたルート証明機関」および「中間証明機関」の中間 CA (存在する場合)
IMPORTANT!
6. インポートしたら、インポートしたクライアント/マシン証明書をダブルクリックして確認します。
を。 それは持っています秘密鍵
b.その証明書チェーンがいっぱい根元までCA. チェーンにルートがない場合CAまたは中間CA、手順 5 で説明したように、それぞれのフォルダーにインポートします。
7. この時点で、証明書がクライアントにインポートされるため、保存せずに mmc コンソールを閉じることができます。
マックOS
- キーチェーン アクセスを開き、システム キーチェーンに移動します。
- すべてのアプリケーションがデバイスとルートの秘密鍵にアクセスできることを確認しますCA証明書: