GlobalProtect ポータルとゲートウェイが同じ場合、同じ証明書プロファイルが必要ですIP住所
Symptom
この記事は、その理由を説明することを目的としていますGlobalProtectポータルとゲートウェイは、同じ場合は同じ証明書プロファイルを持つ必要がありますIP住所
Environment
- PAN-OS firewall
- GlobalProtect ポータルとゲートウェイ
- 証明書プロファイル
Cause
ポータルのみが証明書プロファイルを持ち、ポータルとゲートウェイの両方が同じ上にある場合、ポータルでのクライアント証明書認証は失敗しますIP住所
Resolution
Additional Information
以下は、クライアント証明書認証の動作を説明するさまざまなシナリオです。
- シナリオ#1
GlobalProtect ethernet1/3 で構成されたポータル (IPアドレス: 10.0.0.1) 証明書プロファイルを使用Cert-Prof-1
- GlobalProtect 同じ ethernet1/3 で構成されたゲートウェイ (IPアドレス: 10.0.0.1)、証明書プロファイルなし
両方が同じ上にある場合、ゲートウェイには証明書プロファイルが構成されていないため、クライアント証明書の認証は失敗しますIP住所
- シナリオ#2
GlobalProtect ethernet1/3 で構成されたポータル (IPアドレス: 10.0.0.1) 証明書プロファイルなし
- GlobalProtect 同じ ethernet1/3 で構成されたゲートウェイ (IPアドレス: 10.0.0.1) 証明書プロファイルを使用Cert-Prof-1
クライアント証明書認証は、証明書プロファイルがゲートウェイ上にあるため、両方が同じ上にある場合に機能しますIP住所
- シナリオ#3
GlobalProtect ethernet1/3 で構成されたポータル (IPアドレス: 10.0.0.1) 証明書プロファイルを使用Cert-Prof-1
GlobalProtect 同じ ethernet1/3 で構成されたゲートウェイ (IPアドレス: 10.0.0.1) 証明書プロファイルを使用Cert-Prof-2
証明書プロファイルCert-Prof-2ポータルとゲートウェイの両方のクライアント証明書認証に使用されます
- シナリオ#4
GlobalProtect ethernet1/3 で構成されたポータル (IPアドレス: 10.0.0.1) 証明書プロファイルを使用Cert-Prof-1
GlobalProtect 同じ ethernet1/3 で構成されたゲートウェイ (IPアドレス: 10.0.0.2) 証明書プロファイルを使用Cert-Prof-2
- シナリオ#5
GlobalProtect ethernet1/3 で構成されたポータル (IPアドレス: 10.0.0.1) 証明書プロファイルを使用Cert-Prof-1
GlobalProtect 同じ ethernet1/4 で構成されたゲートウェイ (IPアドレス: 10.1.0.1) 証明書プロファイルを使用Cert-Prof-2
証明書プロファイルCert-Prof-1ポータルに使用され、 Cert-Prof-2ゲートウェイ用クライアント証明書認証用異なっているIPアドレスとインターフェース