GlobalProtect El portal y la puerta de enlace necesitan el mismo perfil de certificado cuando están en la misma IP dirección
Symptom
Este artículo está diseñado para explicar por qué GlobalProtect Portal y Gateway necesitan tener el mismo perfil de certificado cuando están en la misma IP dirección.
Environment
- PAN-OS firewall
- GlobalProtect Portal y puerta de enlace
- Perfil del certificado
Cause
Se produce un error en la autenticación de certificados de cliente en Portal cuando solo Portal tiene el perfil de certificado y tanto Portal como Gateway están en la misma IP dirección
Resolution
Additional Information
A continuación se muestran varios escenarios que explican el comportamiento de autenticación de certificados de cliente:
- Escenario #1
GlobalProtect Portal configurado en ethernet1/3 (IP Dirección: 10.0.0.1) mediante Certificate Profile Cert-Prof-1
- GlobalProtect Puerta de enlace configurada en la misma ethernet1/3 (IP dirección: 10.0.0.1) sin perfil de certificado
Se producirá un error en la autenticación de certificados de cliente, ya que la puerta de enlace no tiene ningún perfil de certificado configurado cuando ambos están en la misma IP dirección.
- Escenario #2
GlobalProtect Portal configurado en ethernet1/3 (IP Dirección: 10.0.0.1) sin perfil de certificado
- GlobalProtect Gateway configurado en la misma ethernet1/3 (IP Dirección: 10.0.0.1) mediante el perfil de certificado Cert-Prof-1
La autenticación de certificados de cliente funcionará ya que el perfil de certificado está en la puerta de enlace cuando ambos están en la misma IP dirección
- Escenario #3
GlobalProtect Portal configurado en ethernet1/3 (IP Dirección: 10.0.0.1) mediante Certificate Profile Cert-Prof-1
GlobalProtect Gateway configurado en el mismo ethernet1/3 (IP Dirección: 10.0.0.1) utilizando Certificate Profile Cert-Prof-2
Perfil de certificado Cert-Prof-2 se usaría para la autenticación de certificados de cliente de Portal y puerta de enlace
- Escenario #4
GlobalProtect Portal configurado en ethernet1/3 (IP Dirección: 10.0.0.1) mediante Certificate Profile Cert-Prof-1
GlobalProtect Gateway configurado en la misma ethernet1/3 (IP Dirección: 10.0.0.2) mediante el perfil de certificado Cert-Prof-2
- Escenario #5
GlobalProtect Portal configurado en ethernet1/3 (IP Dirección: 10.0.0.1) mediante Certificate Profile Cert-Prof-1
GlobalProtect Gateway configurado en la misma ethernet1/4 (IP Dirección: 10.1.0.1) utilizando Certificate Profile Cert-Prof-2
Perfil de certificado Cert-Prof-1 se usaría para Portal y Cert-Prof-2 para Gateway para la autenticación de certificados de cliente, ya que ambos están en direcciones e interfaces diferentes IP