GlobalProtect Portal und Gateway benötigen dasselbe Zertifikatprofil, wenn sie sich an derselben IP Adresse befinden
Symptom
In diesem Artikel wird erläutert, warum GlobalProtect Portal und Gateway dasselbe Zertifikatprofil haben müssen, wenn sie sich an derselben IP Adresse befinden.
Environment
- PAN-OS firewall
- GlobalProtect Portal und Gateway
- Zertifikatprofil
Cause
Clientzertifikatauthentifizierung schlägt im Portal fehl, wenn nur Portal über das Zertifikatprofil verfügt und sich Portal und Gateway an derselben IP Adresse befinden
Resolution
Additional Information
Im Folgenden finden Sie verschiedene Szenarien, in denen das Authentifizierungsverhalten des Clientzertifikats erläutert wird:
- Szenario #1
GlobalProtect Portal konfiguriert auf Ethernet1/3 (IP Adresse: 10.0.0.1) mit Zertifikatsprofil Cert-Prof-1
- GlobalProtect Gateway konfiguriert auf demselben Ethernet1/3 (IP Adresse: 10.0.0.1) ohne Zertifikatsprofil
Die Clientzertifikatauthentifizierung schlägt fehl, da für Gateway kein Zertifikatprofil konfiguriert ist, wenn sich beide an derselben IP Adresse befinden
- Szenario #2
GlobalProtect Portal konfiguriert auf Ethernet1/3 (IP Adresse: 10.0.0.1) kein Zertifikatsprofil
- GlobalProtect Gateway konfiguriert auf demselben Ethernet1/3 (IP Adresse: 10.0.0.1) mit Zertifikatsprofil Cert-Prof-1
Die Clientzertifikatauthentifizierung funktioniert, da sich das Zertifikatprofil auf dem Gateway befindet, wenn sich beide auf derselben IP Adresse befinden
- Szenario #3
GlobalProtect Portal konfiguriert auf Ethernet1/3 (IP Adresse: 10.0.0.1) mit Zertifikatsprofil Cert-Prof-1
GlobalProtect Gateway konfiguriert auf demselben Ethernet1/3 (IP Adresse: 10.0.0.1) mit Zertifikatsprofil Cert-Prof-2
Das Zertifikatsprofil Cert-Prof-2 wird sowohl für die Zertifikatsauthentifizierung des Portal- als auch des Gateway-Clients verwendet.
- Szenario #4
GlobalProtect Portal konfiguriert auf Ethernet1/3 (IP Adresse: 10.0.0.1) mit Zertifikatsprofil Cert-Prof-1
GlobalProtect Gateway konfiguriert auf demselben Ethernet1/3 (IP Adresse: 10.0.0.2) mit Zertifikatsprofil Cert-Prof-2
- Szenario #5
GlobalProtect Portal konfiguriert auf Ethernet1/3 (IP Adresse: 10.0.0.1) mit Zertifikatsprofil Cert-Prof-1
GlobalProtect Gateway konfiguriert auf demselben Ethernet1/4 (IP Adresse: 10.1.0.1) mit Zertifikatsprofil Cert-Prof-2
Das Zertifikatsprofil Cert-Prof-1 wird für Portal und Cert-Prof-2 für Gateway für die Clientzertifikatauthentifizierung verwendet, da sich beide auf unterschiedlichen IP Adressen und Schnittstellen befinden