证书配置GlobalProtect- (SSL /TLS ，客户端证书配置文件，客户端/机器证书）

本文档介绍了配置证书的基础知识GlobalProtect设置。 请注意，可以有其他方式部署证书GlobalProtect本文档未涵盖的内容。

 

A.SSL /TLS服务简介- 指定门户/网关服务器证书，每个门户/网关都需要一个。

B.证书简介（如有） - 门户/网关用于请求客户端/机器证书

C.在终端客户端安装客户端/机器证书

 

A.SSL /TLS服务简介

在以下情况下GlobalProtect，此配置文件用于指定GlobalProtect门户/网关的“服务器证书”和SSL/TLS “协议版本范围”。 如果同一个接口同时作为门户和网关，你可以使用相同的SSL/TLS门户网站/网关的配置文件。 如果门户/网关通过不同的接口提供服务，您可以使用相同的SSL/TLS配置文件，只要证书在其主题备用名称中包含门户/网关 IP/FQDN（SAN )，如果没有，请根据需要为门户和网关创建不同的配置文件。

 

创建的先决条件SSL/TLS profile 是生成/导入门户/网关“服务器证书”及其链

• 到导入外部生成的证书， 导航设备>证书管理>证书然后点击 '进口' 在底部。
• 到在上生成证书firewall， 导航设备>证书管理>证书和点击 '产生' 在底部。

 

如果服务器证书是由知名第三方签署的CA或通过内部PKI服务器

1.导入根CA（私钥是可选的）

2. 导入中间 CA（如果有的话）（私钥是可选的）

3.导入由上述CA“使用”私钥签名的服务器证书。

 

IMPORTANT！

• 主题备用名称 (SAN ) 应该存在至少一个条目和IP或者FQDN用于门户/网关“必须”是其中的条目之一SAN列表。
• 如果SAN没有上述条目，证书验证将在网关上失败并导致连接失败。
• 不应该是类型CA. 它必须是最终实体类型。
• 作为一种好的做法，最好使用FQDN代替IP. 在整个配置中保持一致，并教育最终用户使用它FQDN/IP在里面GlobalProtect客户端的门户字段。 例如。如果可以通过 fqdn“vpn.xyz.com”访问门户/网关或IP1.1.1.1；如果证书引用 fqdn“vpn.xyz.com”，则用户“必须”使用“vpn.xyz.com”而不是“1.1.1.1”。

 

4.SSL /TLS轮廓

（地点：设备>证书管理>SSL /TLS服务简介)

-名称- 为这个配置文件命名

-证书- 从第 3 步引用服务器证书

-协议设置- 为客户端和服务器之间的 ssl 事务选择 ssl/tls 的最小和最大版本

 
 

5.参考这个SSL/TLS根据需要在门户/网关中配置文件。

 

如果需要在帕洛阿尔托网络上生成服务器证书firewall

1. 生成具有任何唯一值的通用名称的根证书。 （以外IP或者FQDN门户/网关）

（地点：设备>证书管理>证书单击屏幕底部的生成）

 

2.（可选）生成由上述根证书签名的中间证书。将其通用名称指定为任何唯一值。 （以外IP或者FQDN门户/网关）

 
 

3.生成由上述中间证书签名的服务器证书。

一种。此证书的通用名称“必须”与门户/网关的名称相匹配IP或者FQDN如果主题替代名称（SAN ) 在此证书中不存在。 在PAN防火墙，SAN可以在“主机名”类型的可选“证书属性”下创建，“IP ' 或 '电子邮件'。

b.如果SAN存在至少一个条目，然后IP或者FQDN用于门户/网关的“必须”存在于其中SAN列表。

C。不应该是一个CA.

d.作为一种好的做法，最好使用FQDN代替IP. 在整个配置中保持一致，并教育最终用户使用它FQDN/IP在里面GlobalProtect客户端的门户字段。 例如。如果可以通过 fqdn“vpn.xyz.com”访问门户/网关或IP1.1.1.1；并且证书引用了 fqdn“vpn.xyz.com”，用户“必须”使用“vpn.xyz.com”而不是“1.1.1.1”。

 

 

 

4.SSL /TLS轮廓

（地点：设备>证书管理>SSL /TLS服务简介)

• 名称- 为这个配置文件命名
• 证书- 从第 3 步引用服务器证书
• 协议设置- 为客户端和服务器之间的 ssl 事务选择 ssl/tls 的最小和最大版本

 

5. 参考这个SSL/TLS根据需要在门户/网关中配置文件。

 

B.证书简介

（地点：设备>证书管理>证书配置文件)

证书配置文件指定 CA 和中间 CA 的列表。 当此证书配置文件应用于配置时，门户/网关将向客户端发送客户端证书请求以请求由CA/中间的CA在证书配置文件中指定。 建议在此配置文件中同时放置根 CA 和中间 CA，而不仅仅是根CA.

  

IMPORTANT！
-客户证书是指用户证书, 它可以用于'用户登录'/'按需'连接方法。 习惯于验证用户。
-机器证书是指设备证书, 它可以用于'登录前'连接方法。 这是用来验证设备，而不是用户。

 

1.导入“根CA" 将客户端/机器证书签署到设备 > 证书管理 > 证书（可选私钥）
2. 导入“中间 CA”（如果有）将客户端/机器证书签名到设备 > 证书管理 > 证书（可选私钥）
3. 去设备 > 证书管理 > 证书配置文件， 点击添加.
4. 为配置文件命名。
5. 添加第 1 步和第 2 步中的根 CA 和中间 CA。

 

6.笔记：默认情况下，用户名字段设置为“无”，在从中提取用户名的典型设置中LDAP/RADIUS身份验证，您可以将其保留为无。 另一方面，如果证书是唯一的身份验证方法，也就是说，如果您没有RADIUS/LDAP对于门户/网关身份验证，您必须将用户名字段从无更改为“Subj”或“Subj Alt”以从客户端证书通用名称或电子邮件/主体名称中提取用户名。 如果不这样做，将导致提交失败。

7.（可选）检查CRL或者OCSP如果门户/网关需要使用验证客户端/机器证书的吊销状态CRL或者OCSP. 请谨慎使用，因为如果与“证书状态未知时阻止会话”一起使用，可能会导致客户端无法连接。

 

8. 根据需要引用此证书配置文件门户/网关。

 

C.在终端客户端安装客户端/机器证书

 

导入客户端/机器证书时，将其导入PKCS将包含其格式私钥.

 

窗户 -

1.点击开始>运行，键入 mmc 以打开 Microsoft 证书管理控制台。

 

2. 前往文件 > 添加/删除管理单元:

 

 

 

 

IMPORTANT！

3.点击证书>添加并选择以下一项或两项：

 

一种。加上客户（用户）证书，选择“我的用户帐户'. 这用于 '用户登录' 和 '一经请求'因为它验证用户.

b.加上机器（装置）证书，选择“计算机帐户'. 这用于 '登录前' 因为它验证机器.

 

 

 

 

 

4. 将客户端/机器证书导入 mmc。

一种。如果您要导入客户端证书，请将其导入到“我的用户帐户”下的“个人”文件夹中

b.如果您正在导入机器证书，请将其导入“计算机帐户”下的“个人”文件夹

 

 

 

5.同样导入RootCA在“中间证书颁发机构”中的“受信任的根证书颁发机构和中间 CA（如果有）”

 

 

IMPORTANT！

6.导入后，双击导入的客户端/机器证书以确保

一种。 它有私钥

b.其证书链已满直到它的根CA. 如果链缺少根CA或中间CA，按照步骤 5 中的说明将它们导入各自的文件夹。

 

 

 

 

7. 此时，证书已在客户端导入，因此您可以关闭 mmc 控制台而不保存它。



苹果系统

1. 打开钥匙串访问并转到系统钥匙串：

2. 确保所有应用程序都可以访问设备和 Root 的私钥CA证书：