GlobalProtect El portal y la puerta de enlace necesitan el mismo perfil de certificado cuando están en la misma IP dirección

GlobalProtect El portal y la puerta de enlace necesitan el mismo perfil de certificado cuando están en la misma IP dirección

24201
Created On 09/25/18 17:30 PM - Last Modified 01/18/23 20:52 PM


Symptom


Este artículo está diseñado para explicar por qué GlobalProtect Portal y Gateway necesitan tener el mismo perfil de certificado cuando están en la misma IP dirección.

Environment


  • PAN-OS firewall
  • GlobalProtect Portal y puerta de enlace
  • Perfil del certificado

Cause


Se produce un error en la autenticación de certificados de cliente en Portal cuando solo Portal tiene el perfil de certificado y tanto Portal como Gateway están en la misma IP dirección

Resolution


Para GlobalProtect la autenticación de certificados de cliente, el perfil de certificado en la puerta de enlace tiene prioridad y se usaría para la autenticación tanto en Portal como en Puerta de enlace. Dado que la puerta de enlace no tiene el perfil de certificado, se produce un error en la autenticación. Por lo tanto, tanto Portal como Gateway deben tener el mismo perfil de certificado para que la autenticación se realice correctamente cuando ambos están en la misma IP dirección.

Additional Information


A continuación se muestran varios escenarios que explican el comportamiento de autenticación de certificados de cliente:

  1. Escenario #1

  • GlobalProtect Portal configurado en ethernet1/3 (IP Dirección: 10.0.0.1) mediante Certificate Profile Cert-Prof-1

  • GlobalProtect Puerta de enlace configurada en la misma ethernet1/3 (IP dirección: 10.0.0.1) sin perfil de certificado

Se producirá un error en la autenticación de certificados de cliente, ya que la puerta de enlace no tiene ningún perfil de certificado configurado cuando ambos están en la misma IP dirección.

  1. Escenario #2

  • GlobalProtect Portal configurado en ethernet1/3 (IP Dirección: 10.0.0.1) sin perfil de certificado

  • GlobalProtect Gateway configurado en la misma ethernet1/3 (IP Dirección: 10.0.0.1) mediante el perfil de certificado Cert-Prof-1

La autenticación de certificados de cliente funcionará ya que el perfil de certificado está en la puerta de enlace cuando ambos están en la misma IP dirección

  1. Escenario #3

  • GlobalProtect Portal configurado en ethernet1/3 (IP Dirección: 10.0.0.1) mediante Certificate Profile Cert-Prof-1

  • GlobalProtect Gateway configurado en el mismo ethernet1/3 (IP Dirección: 10.0.0.1) utilizando Certificate Profile Cert-Prof-2

Perfil de certificado Cert-Prof-2 se usaría para la autenticación de certificados de cliente de Portal y puerta de enlace

  1. Escenario #4

  • GlobalProtect Portal configurado en ethernet1/3 (IP Dirección: 10.0.0.1) mediante Certificate Profile Cert-Prof-1

  • GlobalProtect Gateway configurado en la misma ethernet1/3 (IP Dirección: 10.0.0.2) mediante el perfil de certificado Cert-Prof-2

Perfil de certificado Cert-Prof-1 se usaría para Portal y Cert-Prof-2 para Gateway para la autenticación de certificados de cliente, ya que ambos tienen direcciones diferentes IP; aunque ambos están en la misma interfaz
  1. Escenario #5

  • GlobalProtect Portal configurado en ethernet1/3 (IP Dirección: 10.0.0.1) mediante Certificate Profile Cert-Prof-1

  • GlobalProtect Gateway configurado en la misma ethernet1/4 (IP Dirección: 10.1.0.1) utilizando Certificate Profile Cert-Prof-2

Perfil de certificado Cert-Prof-1 se usaría para Portal y Cert-Prof-2 para Gateway para la autenticación de certificados de cliente, ya que ambos están en direcciones e interfaces diferentes IP
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFzCAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language