GlobalProtect Le portail et la passerelle ont besoin du même profil de certificat lorsqu’ils sont sur la même IP adresse
Symptom
Cet article est conçu pour expliquer pourquoi GlobalProtect Portal et Gateway doivent avoir le même profil de certificat lorsqu’ils sont sur la même IP adresse
Environment
- PAN-OS firewall
- GlobalProtect Portail et passerelle
- Profil de certificat
Cause
L’authentification par certificat client échoue sur le portail lorsque seul le portail possède le profil de certificat et que le portail et la passerelle se trouvent à la même IP adresse
Resolution
Additional Information
Voici différents scénarios expliquant le comportement d’authentification par certificat client :
- Scénario#1
GlobalProtect Portail configuré sur ethernet1/3 (IP adresse : 10.0.0.1) à l’aide du profil de certificat Cert-Prof-1
- GlobalProtect Passerelle configurée sur le même ethernet1/3 (IP adresse : 10.0.0.1) sans profil de certificat
L’authentification par certificat client échoue car aucun profil de certificat n’est configuré sur la passerelle lorsque les deux se trouvent sur la même IP adresse
- Scénario#2
GlobalProtect Portail configuré sur ethernet1/3 (IP Adresse : 10.0.0.1) pas de profil de certificat
- GlobalProtect Passerelle configurée sur le même ethernet1/3 (IP adresse : 10.0.0.1) à l’aide du profil de certificat Cert-Prof-1
L’authentification par certificat client fonctionnera car le profil de certificat se trouve sur la passerelle lorsque les deux se trouvent à la même IP adresse
- Scénario#3
GlobalProtect Portail configuré sur ethernet1/3 (IP adresse : 10.0.0.1) à l’aide du profil de certificat Cert-Prof-1
GlobalProtect Passerelle configurée sur le même ethernet1/3 (IP adresse : 10.0.0.1) à l’aide du profil de certificat Cert-Prof-2
Le profil de certificat Cert-Prof-2 serait utilisé pour l’authentification par certificat client du portail et de la passerelle
- Scénario#4
GlobalProtect Portail configuré sur ethernet1/3 (IP adresse : 10.0.0.1) à l’aide du profil de certificat Cert-Prof-1
GlobalProtect Passerelle configurée sur le même ethernet1/3 (IP adresse : 10.0.0.2) à l’aide du profil de certificat Cert-Prof-2
- Scénario#5
GlobalProtect Portail configuré sur ethernet1/3 (IP adresse : 10.0.0.1) à l’aide du profil de certificat Cert-Prof-1
GlobalProtect Passerelle configurée sur le même ethernet1/4 (IP adresse : 10.1.0.1) à l’aide du profil de certificat Cert-Prof-2
Profil de certificat Cert-Prof-1 serait utilisé pour Portal et Cert-Prof-2 pour Gateway pour l’authentification par certificat client puisque les deux sont sur des adresses et des interfaces différentes IP