Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
の証明書設定GlobalProtect- (SSL /TLS 、クライアント証明書プロファイル、クライアント/マシン証明書) - Knowledge Base - Palo Alto Networks

の証明書設定GlobalProtect- (SSL /TLS 、クライアント証明書プロファイル、クライアント/マシン証明書)

790884
Created On 09/25/18 17:27 PM - Last Modified 01/18/23 20:51 PM


Environment


グローバル保護設定

Resolution


このドキュメントでは、証明書の構成の基本について説明します。GlobalProtect設定。 の証明書を展開する方法は他にもあることに注意してください。GlobalProtectこれは、このドキュメントではカバーされていません。

 

A.SSL /TLSサービス プロファイル- ポータル/ゲートウェイ サーバー証明書を指定します。すべてのポータル/ゲートウェイに必要です。

B.証明書プロファイル (ある場合) - ポータル/ゲートウェイがクライアント/マシン証明書を要求するために使用

C.エンド クライアントにクライアント/マシン証明書をインストールする

 

A.SSL /TLSサービス プロファイル

の文脈ではGlobalProtect、このプロファイルは指定するために使用されますGlobalProtectポータル/ゲートウェイの「サーバー証明書」とSSL/TLS 「プロトコルバージョン範囲」。 同じインターフェイスがポータルとゲートウェイの両方として機能する場合は、同じものを使用できますSSL/TLSポータル/ゲートウェイの両方のプロファイル。 ポータル/ゲートウェイが異なるインターフェイスを介して提供されている場合は、同じものを使用できますSSL/TLS証明書のサブジェクト代替名にポータル/ゲートウェイ IP/FQDN の両方が含まれている限り、プロファイルSAN)、そうでない場合は、必要に応じてポータルとゲートウェイに別のプロファイルを作成します。

 

作成するための前提条件SSL/TLSプロファイルは、ポータル/ゲートウェイの「サーバー証明書」とそのチェーンを生成/インポートします

  • 外部で生成された証明書をインポートする、 案内するデバイス > 証明書の管理 > 証明書をクリックして '輸入' 下部にあります。
  • で証明書を生成しますfirewall、 案内するデバイス > 証明書の管理 > 証明書クリック '生む' 下部にあります。

 

サーバー証明書が有名なサードパーティによって署名されている場合CAまたは内部によってPKIサーバ

1.ルートをインポートするCA(秘密鍵はオプションです)

2. 中間 CA がある場合はインポートします (秘密鍵はオプションです)。

3. 上記の CA によって署名されたサーバー証明書を「秘密鍵付き」でインポートします。

 

IMPORTANT!

  • サブジェクトの別名 (SAN ) 少なくとも 1 つのエントリが存在する必要があり、IPまたFQDNポータル/ゲートウェイに使用されていることは、そのエントリの 1 つでなければなりませんSANリスト。
  • もしSANに上記のエントリがない場合、ゲートウェイで証明書の検証が失敗し、接続が失敗します。
  • タイプであってはならないCA. タイプは end-entity でなければなりません。
  • 良い習慣として、使用することをお勧めしますFQDNそれ以外のIP. 構成全体でこれを一貫した状態に保ち、これを使用するようにエンド ユーザーを教育します。FQDN /IPの中にGlobalProtectクライアントのポータル フィールド。 例えば。 fqdn「vpn.xyz.com」でポータル/ゲートウェイに到達できる場合、またはIP1.1.1.1;証明書が fqdn 'vpn.xyz.com' を参照している場合、ユーザーは '1.1.1.1' の代わりに 'vpn.xyz.com' を使用する必要があります。

cert-chain.png

 

4.SSL /TLSプロフィール

(位置:デバイス>証明書管理>SSL /TLSサービス プロファイル)

-名前- このプロファイルに任意の名前を付けます

-証明書- ステップ 3 のサーバー証明書を参照します。

-プロトコル設定- クライアントとサーバー間の ssl トランザクションの ssl/tls の最小および最大バージョンを選択します

 SSL-TLS-profile.png
 

5.これを参照SSL/TLS必要に応じてポータル/ゲートウェイでプロファイルします。

 

パロアルトネットワークでサーバー証明書を生成する必要がある場合firewall

1. 任意の一意の値の共通名を持つルート証明書を生成します。 (以外IPまたFQDNポータル/ゲートウェイの)

(位置:デバイス > 証明書の管理 > 証明書画面の下部にある [生成] をクリックします)

ルート証明書.png

 

2. (オプション) 上記のルート証明書によって署名された中間証明書を生成します。その共通名を一意の値として指定します。 (以外IPまたFQDNポータル/ゲートウェイの)

 中間.png
 

3. 上記の中間証明書によって署名されたサーバー証明書を生成します。

を。この証明書の共通名は、ポータル/ゲートウェイのものと「一致する必要があります」IPまたFQDNサブジェクト代替名の場合(SAN ) はこの証明書に存在しません。 のPANファイアウォール、SANタイプ「ホスト名」のオプションの「証明書属性」の下に作成できます。IP 」または「電子メール」。

b.もしもSAN少なくとも 1 つのエントリが存在する場合、IPまたFQDNポータル/ゲートウェイに使用されていることは、その中に存在する必要がありますSANリスト。

c.すべきではありませんCA.

d.良い習慣として、使用することをお勧めしますFQDNそれ以外のIP. これを構成全体で一貫させ、エンド ユーザーにこれを使用するように教育します。FQDN /IPの中にGlobalProtectクライアントのポータル フィールド。 例えば。 fqdn「vpn.xyz.com」でポータル/ゲートウェイに到達できる場合、またはIP1.1.1.1;証明書が fqdn 'vpn.xyz.com' を参照している場合、ユーザーは '1.1.1.1' の代わりに 'vpn.xyz.com' を使用する必要があります。

 

 Servercert.png

 

4.SSL /TLSプロフィール

(位置:デバイス>証明書管理>SSL /TLSサービス プロファイル)

  • 名前- このプロファイルに任意の名前を付けます
  • 証明書- ステップ 3 のサーバー証明書を参照します。
  • プロトコル設定- クライアントとサーバー間の ssl トランザクションの ssl/tls の最小および最大バージョンを選択します

 SSL-TLS-profile.png

5. これを参照SSL/TLS必要に応じてポータル/ゲートウェイでプロファイルします。

 

B.証明書プロファイル

(位置:デバイス > 証明書管理 > 証明書プロファイル)

証明書プロファイルは、CA と中間 CA のリストを指定します。 この証明書プロファイルが構成に適用されると、ポータル/ゲートウェイは、クライアント証明書要求をクライアントに送信して、証明書によって署名されたクライアント/マシン証明書を要求します。CA /中級CA証明書プロファイルで指定されています。 ルートだけではなく、ルート CA と中間 CA の両方をこのプロファイルに配置することをお勧めします。CA .

  

IMPORTANT!
-クライアント証明書が指すユーザー証明書、それはのために使用することができます「ユーザー ログオン」/「オンデマンド」メソッドを接続します。 慣れているユーザーを認証します。
-機械証明書が指すデバイス証明書、それはのために使用することができます「ログオン前」接続方法。 これは慣れているユーザーではなく、デバイスを認証します。

 

1.「ルートCA" クライアント/マシン証明書に署名したデバイス > 証明書管理 > 証明書(オプションの秘密鍵)
2. クライアント/マシン証明書に署名した「中間 CA」がある場合は、「中間 CA」をインポートします。デバイス > 証明書管理 > 証明書(オプションの秘密鍵)
3. に行くデバイス > 証明書管理 > 証明書プロファイル、 クリック追加.
4. プロファイルに名前を付けます。
5. 手順 1 と 2 のルート CA と中間 CA を追加します。

 

client-certprof.png

6.ノート: ユーザー名フィールドは、デフォルトで「なし」に設定されています。これは、ユーザー名が引き出される典型的なセットアップです。LDAP /RADIUS認証、これをなしのままにすることができます。 一方、証明書が認証の唯一の方法である場合、つまり、証明書を持っていない場合RADIUS/LDAPポータル/ゲートウェイ認証の場合、ユーザー名フィールドを none から 'Subj' または 'Subj Alt' に変更して、クライアント証明書の共通名または電子メール/プリンシパル名からユーザー名を抽出する必要があります。 これを行わないと、コミットが失敗します。


7. (オプション) チェックCRLまたOCSPポータル/ゲートウェイがクライアント/マシン証明書の失効ステータスを確認する必要がある場合CRLまたOCSP. これを「証明書のステータスが不明な場合はセッションをブロックする」と組み合わせて使用すると、クライアントが接続に失敗する可能性があるため、注意して使用してください。

 

8. 必要に応じて、この証明書プロファイル ポータル/ゲートウェイを参照します。

 

C.エンド クライアントにクライアント/マシン証明書をインストールする

 

クライアント/マシン証明書をインポートするときは、PKCSそれを含むフォーマット秘密鍵.

 

ウィンドウズ -

1. クリックスタート>実行、mmc と入力して Microsoft 証明書管理コンソールを開きます。

1.JPG
 

2.に行くファイル > スナップインの追加と削除:

追加-削除-snapin.png

 

 

 

 

IMPORTANT!

3. クリック証明書>追加次のいずれかまたは両方を選択します。

 

を。たすクライアント(ユーザー)証明書、選択 '私のユーザーアカウント'。 これは 'ユーザーログオン' と 'オンデマンドそれ以来ユーザーを認証します.

b.たすマシン(デバイス)証明書、選択 'コンピュータ アカウント'。 これは 'ログオン前'そのままマシンを認証します.

スナップイン 1.png

 

 

 スナップイン 2.png

 

 

4. クライアント/マシン証明書を mmc にインポートします。

を。クライアント証明書をインポートする場合は、「マイ ユーザー アカウント」の下の「個人用」フォルダにインポートします。

b.マシン証明書をインポートする場合は、「コンピューター アカウント」の下の「個人用」フォルダーにインポートします。

 

スナップイン 3.png

 

 

5. 同様にルートをインポートします。CA 「信頼されたルート証明機関」および「中間証明機関」の中間 CA (存在する場合)

 

スナップイン 4.png

 

IMPORTANT!

6. インポートしたら、インポートしたクライアント/マシン証明書をダブルクリックして確認します。

を。 それは持っています秘密鍵

b.その証明書チェーンがいっぱい根元までCA. チェーンにルートがない場合CAまたは中間CA、手順 5 で説明したように、それぞれのフォルダーにインポートします。

 スナップイン 6.png

 

 スナップイン 7.png

 

7. この時点で、証明書がクライアントにインポートされるため、保存せずに mmc コンソールを閉じることができます。



マックOS

  1. キーチェーン アクセスを開き、システム キーチェーンに移動します。


 
  1. すべてのアプリケーションがデバイスとルートの秘密鍵にアクセスできることを確認しますCA証明書:


 


 



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFoCAK&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language