GlobalProtect ポータルとゲートウェイが同じ場合、同じ証明書プロファイルが必要ですIP住所

24189

Created On 09/25/18 17:30 PM - Last Modified 01/18/23 21:02 PM

Symptom

この記事は、その理由を説明することを目的としていますGlobalProtectポータルとゲートウェイは、同じ場合は同じ証明書プロファイルを持つ必要がありますIP住所

Environment

PAN-OS firewall
GlobalProtect ポータルとゲートウェイ
証明書プロファイル

Cause

ポータルのみが証明書プロファイルを持ち、ポータルとゲートウェイの両方が同じ上にある場合、ポータルでのクライアント証明書認証は失敗しますIP住所

Resolution

にとってGlobalProtectクライアント証明書認証では、ゲートウェイの証明書プロファイルが優先され、ポータルとゲートウェイの両方で認証に使用されます。ゲートウェイには証明書プロファイルがないため、認証は失敗します。したがって、ポータルとゲートウェイの両方が同じ上にある場合に認証を成功させるには、両方が同じ証明書プロファイルを持つ必要があります。IP住所

Additional Information

以下は、クライアント証明書認証の動作を説明するさまざまなシナリオです。

シナリオ#1

GlobalProtect ethernet1/3 で構成されたポータル (IPアドレス: 10.0.0.1) 証明書プロファイルを使用Cert-Prof-1
GlobalProtect 同じ ethernet1/3 で構成されたゲートウェイ (IPアドレス: 10.0.0.1)、証明書プロファイルなし

両方が同じ上にある場合、ゲートウェイには証明書プロファイルが構成されていないため、クライアント証明書の認証は失敗しますIP住所

シナリオ#2

GlobalProtect ethernet1/3 で構成されたポータル (IPアドレス: 10.0.0.1) 証明書プロファイルなし
GlobalProtect 同じ ethernet1/3 で構成されたゲートウェイ (IPアドレス: 10.0.0.1) 証明書プロファイルを使用Cert-Prof-1

クライアント証明書認証は、証明書プロファイルがゲートウェイ上にあるため、両方が同じ上にある場合に機能しますIP住所

シナリオ#3

GlobalProtect ethernet1/3 で構成されたポータル (IPアドレス: 10.0.0.1) 証明書プロファイルを使用Cert-Prof-1
GlobalProtect 同じ ethernet1/3 で構成されたゲートウェイ (IPアドレス: 10.0.0.1) 証明書プロファイルを使用Cert-Prof-2

証明書プロファイルCert-Prof-2ポータルとゲートウェイの両方のクライアント証明書認証に使用されます

シナリオ#4

GlobalProtect ethernet1/3 で構成されたポータル (IPアドレス: 10.0.0.1) 証明書プロファイルを使用Cert-Prof-1
GlobalProtect 同じ ethernet1/3 で構成されたゲートウェイ (IPアドレス: 10.0.0.2) 証明書プロファイルを使用Cert-Prof-2

証明書プロファイルCert-Prof-1ポータルに使用され、 Cert-Prof-2クライアント証明書認証のためのゲートウェイ用両方違うIPアドレス;どちらも同じインターフェース上にありますが

シナリオ#5

GlobalProtect ethernet1/3 で構成されたポータル (IPアドレス: 10.0.0.1) 証明書プロファイルを使用Cert-Prof-1
GlobalProtect 同じ ethernet1/4 で構成されたゲートウェイ (IPアドレス: 10.1.0.1) 証明書プロファイルを使用Cert-Prof-2