GlobalProtect 门户和网关在相同时需要相同的证书配置文件IP地址
Symptom
这篇文章旨在解释为什么GlobalProtect门户和网关在相同时需要具有相同的证书配置文件IP地址
Environment
- PAN-OS firewall
- GlobalProtect 门户和网关
- 证书简介
Cause
当只有 Portal 具有证书配置文件并且 Portal 和 Gateway 都在同一个上时,客户端证书身份验证在 Portal 上失败IP地址
Resolution
Additional Information
以下是解释客户端证书身份验证行为的各种场景:
- 场景#1
GlobalProtect 在 ethernet1/3 上配置的门户 (IP地址:10.0.0.1)使用证书配置文件Cert-Prof-1
- GlobalProtect 在同一 ethernet1/3 上配置的网关(IP地址:10.0.0.1) 没有证书配置文件
客户端证书身份验证将失败,因为网关在相同时没有配置任何证书配置文件IP地址
- 场景#2
GlobalProtect 在 ethernet1/3 上配置的门户 (IP地址:10.0.0.1)无证书配置文件
- GlobalProtect 在同一 ethernet1/3 上配置的网关(IP地址:10.0.0.1)使用证书配置文件Cert-Prof-1
客户端证书身份验证将起作用,因为证书配置文件在网关上,当两者在同一IP地址
- 场景#3
GlobalProtect 在 ethernet1/3 上配置的门户 (IP地址:10.0.0.1)使用证书配置文件Cert-Prof-1
GlobalProtect 在同一 ethernet1/3 上配置的网关(IP地址:10.0.0.1)使用证书配置文件Cert-Prof-2
证书简介Cert-Prof-2将用于门户和网关客户端证书身份验证
- 场景#4
GlobalProtect 在 ethernet1/3 上配置的门户 (IP地址:10.0.0.1)使用证书配置文件Cert-Prof-1
GlobalProtect 在同一 ethernet1/3 上配置的网关(IP地址:10.0.0.2)使用证书配置文件Cert-Prof-2
- 场景#5
GlobalProtect 在 ethernet1/3 上配置的门户 (IP地址:10.0.0.1)使用证书配置文件Cert-Prof-1
GlobalProtect 在同一 ethernet1/4 上配置的网关(IP地址:10.1.0.1)使用证书配置文件Cert-Prof-2
证书简介Cert-Prof-1将用于 Portal 和Cert-Prof-2对于网关用于客户端证书身份验证,因为两者在不同的IP地址和接口