本文档介绍了配置证书的基础知识GlobalProtect设置。 请注意,可以有其他方式部署证书GlobalProtect本文档未涵盖的内容。
A.SSL /TLS服务简介- 指定门户/网关服务器证书,每个门户/网关都需要一个。
B.证书简介(如有) - 门户/网关用于请求客户端/机器证书
C.在终端客户端安装客户端/机器证书
A.SSL /TLS服务简介
在以下情况下GlobalProtect,此配置文件用于指定GlobalProtect门户/网关的“服务器证书”和SSL/TLS “协议版本范围”。 如果同一个接口同时作为门户和网关,你可以使用相同的SSL/TLS门户网站/网关的配置文件。 如果门户/网关通过不同的接口提供服务,您可以使用相同的SSL/TLS配置文件,只要证书在其主题备用名称中包含门户/网关 IP/FQDN(SAN ),如果没有,请根据需要为门户和网关创建不同的配置文件。
创建的先决条件SSL/TLS profile 是生成/导入门户/网关“服务器证书”及其链
- 到导入外部生成的证书, 导航设备>证书管理>证书然后点击 '进口' 在底部。
- 到在上生成证书firewall, 导航设备>证书管理>证书和点击 '产生' 在底部。
如果服务器证书是由知名第三方签署的CA或通过内部PKI服务器
1.导入根CA(私钥是可选的)
2. 导入中间 CA(如果有的话)(私钥是可选的)
3.导入由上述CA“使用”私钥签名的服务器证书。
IMPORTANT!
- 主题备用名称 (SAN ) 应该存在至少一个条目和IP或者FQDN用于门户/网关“必须”是其中的条目之一SAN列表。
- 如果SAN没有上述条目,证书验证将在网关上失败并导致连接失败。
- 不应该是类型CA. 它必须是最终实体类型。
- 作为一种好的做法,最好使用FQDN代替IP. 在整个配置中保持一致,并教育最终用户使用它FQDN/IP在里面GlobalProtect客户端的门户字段。 例如。如果可以通过 fqdn“vpn.xyz.com”访问门户/网关或IP1.1.1.1;如果证书引用 fqdn“vpn.xyz.com”,则用户“必须”使用“vpn.xyz.com”而不是“1.1.1.1”。
4.SSL /TLS轮廓
(地点:设备>证书管理>SSL /TLS服务简介)
-名称- 为这个配置文件命名
-证书- 从第 3 步引用服务器证书
-协议设置- 为客户端和服务器之间的 ssl 事务选择 ssl/tls 的最小和最大版本
5.参考这个SSL/TLS根据需要在门户/网关中配置文件。
如果需要在帕洛阿尔托网络上生成服务器证书firewall
1. 生成具有任何唯一值的通用名称的根证书。 (以外IP或者FQDN门户/网关)
(地点:设备>证书管理>证书单击屏幕底部的生成)
2.(可选)生成由上述根证书签名的中间证书。将其通用名称指定为任何唯一值。 (以外IP或者FQDN门户/网关)
3.生成由上述中间证书签名的服务器证书。
一种。此证书的通用名称“必须”与门户/网关的名称相匹配IP或者FQDN如果主题替代名称(SAN ) 在此证书中不存在。 在PAN防火墙,SAN可以在“主机名”类型的可选“证书属性”下创建,“IP ' 或 '电子邮件'。
b.如果SAN存在至少一个条目,然后IP或者FQDN用于门户/网关的“必须”存在于其中SAN列表。
C。不应该是一个CA.
d.作为一种好的做法,最好使用FQDN代替IP. 在整个配置中保持一致,并教育最终用户使用它FQDN/IP在里面GlobalProtect客户端的门户字段。 例如。如果可以通过 fqdn“vpn.xyz.com”访问门户/网关或IP1.1.1.1;并且证书引用了 fqdn“vpn.xyz.com”,用户“必须”使用“vpn.xyz.com”而不是“1.1.1.1”。
4.SSL /TLS轮廓
(地点:设备>证书管理>SSL /TLS服务简介)
- 名称- 为这个配置文件命名
- 证书- 从第 3 步引用服务器证书
- 协议设置- 为客户端和服务器之间的 ssl 事务选择 ssl/tls 的最小和最大版本
5. 参考这个SSL/TLS根据需要在门户/网关中配置文件。
B.证书简介
(地点:设备>证书管理>证书配置文件)
证书配置文件指定 CA 和中间 CA 的列表。 当此证书配置文件应用于配置时,门户/网关将向客户端发送客户端证书请求以请求由CA/中间的CA在证书配置文件中指定。 建议在此配置文件中同时放置根 CA 和中间 CA,而不仅仅是根CA.
IMPORTANT!
-客户证书是指用户证书, 它可以用于'用户登录'/'按需'连接方法。 习惯于验证用户。
-机器证书是指设备证书, 它可以用于'登录前'连接方法。 这是用来验证设备,而不是用户。
1.导入“根CA" 将客户端/机器证书签署到设备 > 证书管理 > 证书(可选私钥)
2. 导入“中间 CA”(如果有)将客户端/机器证书签名到设备 > 证书管理 > 证书(可选私钥)
3. 去设备 > 证书管理 > 证书配置文件, 点击添加.
4. 为配置文件命名。
5. 添加第 1 步和第 2 步中的根 CA 和中间 CA。
6.笔记:默认情况下,用户名字段设置为“无”,在从中提取用户名的典型设置中LDAP/RADIUS身份验证,您可以将其保留为无。 另一方面,如果证书是唯一的身份验证方法,也就是说,如果您没有RADIUS/LDAP对于门户/网关身份验证,您必须将用户名字段从无更改为“Subj”或“Subj Alt”以从客户端证书通用名称或电子邮件/主体名称中提取用户名。 如果不这样做,将导致提交失败。
7.(可选)检查CRL或者OCSP如果门户/网关需要使用验证客户端/机器证书的吊销状态CRL或者OCSP. 请谨慎使用,因为如果与“证书状态未知时阻止会话”一起使用,可能会导致客户端无法连接。
8. 根据需要引用此证书配置文件门户/网关。
C.在终端客户端安装客户端/机器证书
导入客户端/机器证书时,将其导入PKCS将包含其格式私钥.
窗户 -
1.点击开始>运行,键入 mmc 以打开 Microsoft 证书管理控制台。
2. 前往文件 > 添加/删除管理单元:
IMPORTANT!
3.点击证书>添加并选择以下一项或两项:
一种。加上客户(用户)证书,选择“我的用户帐户'. 这用于 '用户登录' 和 '一经请求'因为它验证用户.
b.加上机器(装置)证书,选择“计算机帐户'. 这用于 '登录前' 因为它验证机器.
4. 将客户端/机器证书导入 mmc。
一种。如果您要导入客户端证书,请将其导入到“我的用户帐户”下的“个人”文件夹中
b.如果您正在导入机器证书,请将其导入“计算机帐户”下的“个人”文件夹
5.同样导入RootCA在“中间证书颁发机构”中的“受信任的根证书颁发机构和中间 CA(如果有)”
IMPORTANT!
6.导入后,双击导入的客户端/机器证书以确保
一种。 它有私钥
b.其证书链已满直到它的根CA. 如果链缺少根CA或中间CA,按照步骤 5 中的说明将它们导入各自的文件夹。
7. 此时,证书已在客户端导入,因此您可以关闭 mmc 控制台而不保存它。
苹果系统
- 打开钥匙串访问并转到系统钥匙串:
- 确保所有应用程序都可以访问设备和 Root 的私钥CA证书: