Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
证书配置GlobalProtect- (SSL /TLS ,客户端证书配置文件,客户端/机器证书) - Knowledge Base - Palo Alto Networks

证书配置GlobalProtect- (SSL /TLS ,客户端证书配置文件,客户端/机器证书)

790884
Created On 09/25/18 17:27 PM - Last Modified 01/18/23 20:59 PM


Environment


全局保护设置

Resolution


本文档介绍了配置证书的基础知识GlobalProtect设置。 请注意,可以有其他方式部署证书GlobalProtect本文档未涵盖的内容。

 

A.SSL /TLS服务简介- 指定门户/网关服务器证书,每个门户/网关都需要一个。

B.证书简介(如有) - 门户/网关用于请求客户端/机器证书

C.在终端客户端安装客户端/机器证书

 

A.SSL /TLS服务简介

在以下情况下GlobalProtect,此配置文件用于指定GlobalProtect门户/网关的“服务器证书”和SSL/TLS “协议版本范围”。 如果同一个接口同时作为门户和网关,你可以使用相同的SSL/TLS门户网站/网关的配置文件。 如果门户/网关通过不同的接口提供服务,您可以使用相同的SSL/TLS配置文件,只要证书在其主题备用名称中包含门户/网关 IP/FQDN(SAN ),如果没有,请根据需要为门户和网关创建不同的配置文件。

 

创建的先决条件SSL/TLS profile 是生成/导入门户/网关“服务器证书”及其链

  • 导入外部生成的证书, 导航设备>证书管理>证书然后点击 '进口' 在底部。
  • 在上生成证书firewall, 导航设备>证书管理>证书点击 '产生' 在底部。

 

如果服务器证书是由知名第三方签署的CA或通过内部PKI服务器

1.导入根CA(私钥是可选的)

2. 导入中间 CA(如果有的话)(私钥是可选的)

3.导入由上述CA“使用”私钥签名的服务器证书。

 

IMPORTANT!

  • 主题备用名称 (SAN ) 应该存在至少一个条目和IP或者FQDN用于门户/网关“必须”是其中的条目之一SAN列表。
  • 如果SAN没有上述条目,证书验证将在网关上失败并导致连接失败。
  • 不应该是类型CA. 它必须是最终实体类型。
  • 作为一种好的做法,最好使用FQDN代替IP. 在整个配置中保持一致,并教育最终用户使用它FQDN/IP在里面GlobalProtect客户端的门户字段。 例如。如果可以通过 fqdn“vpn.xyz.com”访问门户/网关或IP1.1.1.1;如果证书引用 fqdn“vpn.xyz.com”,则用户“必须”使用“vpn.xyz.com”而不是“1.1.1.1”。

证书链.png

 

4.SSL /TLS轮廓

(地点:设备>证书管理>SSL /TLS服务简介)

-名称- 为这个配置文件命名

-证书- 从第 3 步引用服务器证书

-协议设置- 为客户端和服务器之间的 ssl 事务选择 ssl/tls 的最小和最大版本

 SSL-TLS-简介.png
 

5.参考这个SSL/TLS根据需要在门户/网关中配置文件。

 

如果需要在帕洛阿尔托网络上生成服务器证书firewall

1. 生成具有任何唯一值的通用名称的根证书。 (以外IP或者FQDN门户/网关)

(地点:设备>证书管理>证书单击屏幕底部的生成)

根证书.png

 

2.(可选)生成由上述根证书签名的中间证书。将其通用名称指定为任何唯一值。 (以外IP或者FQDN门户/网关)

 中级.png
 

3.生成由上述中间证书签名的服务器证书。

一种。此证书的通用名称“必须”与门户/网关的名称相匹配IP或者FQDN如果主题替代名称(SAN ) 在此证书中不存在。 在PAN防火墙,SAN可以在“主机名”类型的可选“证书属性”下创建,“IP ' 或 '电子邮件'。

b.如果SAN存在至少一个条目,然后IP或者FQDN用于门户/网关的“必须”存在于其中SAN列表。

C。不应该是一个CA.

d.作为一种好的做法,最好使用FQDN代替IP. 在整个配置中保持一致,并教育最终用户使用它FQDN/IP在里面GlobalProtect客户端的门户字段。 例如。如果可以通过 fqdn“vpn.xyz.com”访问门户/网关或IP1.1.1.1;并且证书引用了 fqdn“vpn.xyz.com”,用户“必须”使用“vpn.xyz.com”而不是“1.1.1.1”。

 

 服务器证书.png

 

4.SSL /TLS轮廓

(地点:设备>证书管理>SSL /TLS服务简介)

  • 名称- 为这个配置文件命名
  • 证书- 从第 3 步引用服务器证书
  • 协议设置- 为客户端和服务器之间的 ssl 事务选择 ssl/tls 的最小和最大版本

 SSL-TLS-简介.png

5. 参考这个SSL/TLS根据需要在门户/网关中配置文件。

 

B.证书简介

(地点:设备>证书管理>证书配置文件)

证书配置文件指定 CA 和中间 CA 的列表。 当此证书配置文件应用于配置时,门户/网关将向客户端发送客户端证书请求以请求由CA/中间的CA在证书配置文件中指定。 建议在此配置文件中同时放置根 CA 和中间 CA,而不仅仅是根CA.

  

IMPORTANT!
-客户证书是指用户证书, 它可以用于'用户登录'/'按需'连接方法。 习惯于验证用户。
-机器证书是指设备证书, 它可以用于'登录前'连接方法。 这是用来验证设备,而不是用户。

 

1.导入“根CA" 将客户端/机器证书签署到设备 > 证书管理 > 证书(可选私钥)
2. 导入“中间 CA”(如果有)将客户端/机器证书签名到设备 > 证书管理 > 证书(可选私钥)
3. 去设备 > 证书管理 > 证书配置文件, 点击添加.
4. 为配置文件命名。
5. 添加第 1 步和第 2 步中的根 CA 和中间 CA。

 

客户端-certprof.png

6.笔记:默认情况下,用户名字段设置为“无”,在从中提取用户名的典型设置中LDAP/RADIUS身份验证,您可以将其保留为无。 另一方面,如果证书是唯一的身份验证方法,也就是说,如果您没有RADIUS/LDAP对于门户/网关身份验证,您必须将用户名字段从无更改为“Subj”或“Subj Alt”以从客户端证书通用名称或电子邮件/主体名称中提取用户名。 如果不这样做,将导致提交失败。


7.(可选)检查CRL或者OCSP如果门户/网关需要使用验证客户端/机器证书的吊销状态CRL或者OCSP. 请谨慎使用,因为如果与“证书状态未知时阻止会话”一起使用,可能会导致客户端无法连接。

 

8. 根据需要引用此证书配置文件门户/网关。

 

C.在终端客户端安装客户端/机器证书

 

导入客户端/机器证书时,将其导入PKCS将包含其格式私钥.

 

窗户 -

1.点击开始>运行,键入 mmc 以打开 Microsoft 证书管理控制台。

1.JPG
 

2. 前往文件 > 添加/删除管理单元:

添加-删除-snapin.png

 

 

 

 

IMPORTANT!

3.点击证书>添加并选择以下一项或两项:

 

一种。加上客户(用户)证书,选择“我的用户帐户'. 这用于 '用户登录' 和 '一经请求'因为它验证用户.

b.加上机器(装置)证书,选择“计算机帐户'. 这用于 '登录前' 因为它验证机器.

捕捉到 1.png

 

 

 捕捉到2.png

 

 

4. 将客户端/机器证书导入 mmc。

一种。如果您要导入客户端证书,请将其导入到“我的用户帐户”下的“个人”文件夹中

b.如果您正在导入机器证书,请将其导入“计算机帐户”下的“个人”文件夹

 

捕捉 3.png

 

 

5.同样导入RootCA在“中间证书颁发机构”中的“受信任的根证书颁发机构和中间 CA(如果有)”

 

捕捉 4.png

 

IMPORTANT!

6.导入后,双击导入的客户端/机器证书以确保

一种。 它有私钥

b.其证书链已满直到它的根CA. 如果链缺少根CA或中间CA,按照步骤 5 中的说明将它们导入各自的文件夹。

 捕捉6.png

 

 捕捉到 7.png

 

7. 此时,证书已在客户端导入,因此您可以关闭 mmc 控制台而不保存它。



苹果系统

  1. 打开钥匙串访问并转到系统钥匙串:


 
  1. 确保所有应用程序都可以访问设备和 Root 的私钥CA证书:


 


 



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFoCAK&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language