GlobalProtect Le portail et la passerelle ont besoin du même profil de certificat lorsqu’ils sont sur la même IP adresse

GlobalProtect Le portail et la passerelle ont besoin du même profil de certificat lorsqu’ils sont sur la même IP adresse

24185
Created On 09/25/18 17:30 PM - Last Modified 01/18/23 21:02 PM


Symptom


Cet article est conçu pour expliquer pourquoi GlobalProtect Portal et Gateway doivent avoir le même profil de certificat lorsqu’ils sont sur la même IP adresse

Environment


  • PAN-OS firewall
  • GlobalProtect Portail et passerelle
  • Profil de certificat

Cause


L’authentification par certificat client échoue sur le portail lorsque seul le portail possède le profil de certificat et que le portail et la passerelle se trouvent à la même IP adresse

Resolution


Pour GlobalProtect l’authentification par certificat client, le profil de certificat sur la passerelle est prioritaire et serait utilisé pour l’authentification sur le portail et la passerelle. Étant donné que la passerelle n’a pas le profil de certificat, l’authentification échoue. Par conséquent, le portail et la passerelle doivent avoir le même profil de certificat pour que l’authentification réussisse lorsque les deux se trouvent à la même IP adresse.

Additional Information


Voici différents scénarios expliquant le comportement d’authentification par certificat client :

  1. Scénario#1

  • GlobalProtect Portail configuré sur ethernet1/3 (IP adresse : 10.0.0.1) à l’aide du profil de certificat Cert-Prof-1

  • GlobalProtect Passerelle configurée sur le même ethernet1/3 (IP adresse : 10.0.0.1) sans profil de certificat

L’authentification par certificat client échoue car aucun profil de certificat n’est configuré sur la passerelle lorsque les deux se trouvent sur la même IP adresse

  1. Scénario#2

  • GlobalProtect Portail configuré sur ethernet1/3 (IP Adresse : 10.0.0.1) pas de profil de certificat

  • GlobalProtect Passerelle configurée sur le même ethernet1/3 (IP adresse : 10.0.0.1) à l’aide du profil de certificat Cert-Prof-1

L’authentification par certificat client fonctionnera car le profil de certificat se trouve sur la passerelle lorsque les deux se trouvent à la même IP adresse

  1. Scénario#3

  • GlobalProtect Portail configuré sur ethernet1/3 (IP adresse : 10.0.0.1) à l’aide du profil de certificat Cert-Prof-1

  • GlobalProtect Passerelle configurée sur le même ethernet1/3 (IP adresse : 10.0.0.1) à l’aide du profil de certificat Cert-Prof-2

Le profil de certificat Cert-Prof-2 serait utilisé pour l’authentification par certificat client du portail et de la passerelle

  1. Scénario#4

  • GlobalProtect Portail configuré sur ethernet1/3 (IP adresse : 10.0.0.1) à l’aide du profil de certificat Cert-Prof-1

  • GlobalProtect Passerelle configurée sur le même ethernet1/3 (IP adresse : 10.0.0.2) à l’aide du profil de certificat Cert-Prof-2

Profil de certificat Cert-Prof-1 serait utilisé pour Portal et Cert-Prof-2 pour Gateway pour l’authentification par certificat client puisque les deux ont des adresses différentes IP ; bien que les deux soient sur la même interface
  1. Scénario#5

  • GlobalProtect Portail configuré sur ethernet1/3 (IP adresse : 10.0.0.1) à l’aide du profil de certificat Cert-Prof-1

  • GlobalProtect Passerelle configurée sur le même ethernet1/4 (IP adresse : 10.1.0.1) à l’aide du profil de certificat Cert-Prof-2

Profil de certificat Cert-Prof-1 serait utilisé pour Portal et Cert-Prof-2 pour Gateway pour l’authentification par certificat client puisque les deux sont sur des adresses et des  interfaces différentes IP
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFzCAK&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language