GlobalProtect Portal und Gateway benötigen dasselbe Zertifikatprofil, wenn sie sich an derselben IP Adresse befinden

GlobalProtect Portal und Gateway benötigen dasselbe Zertifikatprofil, wenn sie sich an derselben IP Adresse befinden

24191
Created On 09/25/18 17:30 PM - Last Modified 01/18/23 20:52 PM


Symptom


In diesem Artikel wird erläutert, warum GlobalProtect Portal und Gateway dasselbe Zertifikatprofil haben müssen, wenn sie sich an derselben IP Adresse befinden.

Environment


  • PAN-OS firewall
  • GlobalProtect Portal und Gateway
  • Zertifikatprofil

Cause


Clientzertifikatauthentifizierung schlägt im Portal fehl, wenn nur Portal über das Zertifikatprofil verfügt und sich Portal und Gateway an derselben IP Adresse befinden

Resolution


Für GlobalProtect die Clientzertifikatauthentifizierung hat das Zertifikatprofil auf Gateway Vorrang und wird sowohl für das Portal als auch für das Gateway verwendet. Da Gateway nicht über das Zertifikatprofil verfügt, schlägt die Authentifizierung fehl. Daher müssen sowohl Portal als auch Gateway dasselbe Zertifikatprofil haben, damit die Authentifizierung erfolgreich ist, wenn sich beide an derselben IP Adresse befinden.

Additional Information


Im Folgenden finden Sie verschiedene Szenarien, in denen das Authentifizierungsverhalten des Clientzertifikats erläutert wird:

  1. Szenario #1

  • GlobalProtect Portal konfiguriert auf Ethernet1/3 (IP Adresse: 10.0.0.1) mit Zertifikatsprofil Cert-Prof-1

  • GlobalProtect Gateway konfiguriert auf demselben Ethernet1/3 (IP Adresse: 10.0.0.1) ohne Zertifikatsprofil

Die Clientzertifikatauthentifizierung schlägt fehl, da für Gateway kein Zertifikatprofil konfiguriert ist, wenn sich beide an derselben IP Adresse befinden

  1. Szenario #2

  • GlobalProtect Portal konfiguriert auf Ethernet1/3 (IP Adresse: 10.0.0.1) kein Zertifikatsprofil

  • GlobalProtect Gateway konfiguriert auf demselben Ethernet1/3 (IP Adresse: 10.0.0.1) mit Zertifikatsprofil Cert-Prof-1

Die Clientzertifikatauthentifizierung funktioniert, da sich das Zertifikatprofil auf dem Gateway befindet, wenn sich beide auf derselben IP Adresse befinden

  1. Szenario #3

  • GlobalProtect Portal konfiguriert auf Ethernet1/3 (IP Adresse: 10.0.0.1) mit Zertifikatsprofil Cert-Prof-1

  • GlobalProtect Gateway konfiguriert auf demselben Ethernet1/3 (IP Adresse: 10.0.0.1) mit Zertifikatsprofil Cert-Prof-2

Das Zertifikatsprofil Cert-Prof-2 wird sowohl für die Zertifikatsauthentifizierung des Portal- als auch des Gateway-Clients verwendet.

  1. Szenario #4

  • GlobalProtect Portal konfiguriert auf Ethernet1/3 (IP Adresse: 10.0.0.1) mit Zertifikatsprofil Cert-Prof-1

  • GlobalProtect Gateway konfiguriert auf demselben Ethernet1/3 (IP Adresse: 10.0.0.2) mit Zertifikatsprofil Cert-Prof-2

Das Zertifikatsprofil Cert-Prof-1 wird für Portal und Cert-Prof-2 für Gateway für die Clientzertifikatauthentifizierung verwendet, da beide unterschiedliche IP Adressen haben; obwohl sich beide auf derselben Schnittstelle befinden
  1. Szenario #5

  • GlobalProtect Portal konfiguriert auf Ethernet1/3 (IP Adresse: 10.0.0.1) mit Zertifikatsprofil Cert-Prof-1

  • GlobalProtect Gateway konfiguriert auf demselben Ethernet1/4 (IP Adresse: 10.1.0.1) mit Zertifikatsprofil Cert-Prof-2

Das Zertifikatsprofil Cert-Prof-1 wird für Portal und Cert-Prof-2 für Gateway für die Clientzertifikatauthentifizierung verwendet, da sich beide auf unterschiedlichen IP Adressen und Schnittstellen befinden
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFzCAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language