GlobalProtect 门户和网关在相同时需要相同的证书配置文件IP地址

GlobalProtect 门户和网关在相同时需要相同的证书配置文件IP地址

24193
Created On 09/25/18 17:30 PM - Last Modified 01/18/23 21:04 PM


Symptom


这篇文章旨在解释为什么GlobalProtect门户和网关在相同时需要具有相同的证书配置文件IP地址

Environment


  • PAN-OS firewall
  • GlobalProtect 门户和网关
  • 证书简介

Cause


当只有 Portal 具有证书配置文件并且 Portal 和 Gateway 都在同一个上时,客户端证书身份验证在 Portal 上失败IP地址

Resolution


为了GlobalProtect客户端证书身份验证,网关上的证书配置文件优先,并将用于门户和网关上的身份验证。 由于网关没有证书配置文件,因此身份验证失败。 因此,Portal 和 Gateway 都需要具有相同的证书配置文件才能使身份验证在同一平台上成功IP地址

Additional Information


以下是解释客户端证书身份验证行为的各种场景:

  1. 场景#1

  • GlobalProtect 在 ethernet1/3 上配置的门户 (IP地址:10.0.0.1)使用证书配置文件Cert-Prof-1

  • GlobalProtect 在同一 ethernet1/3 上配置的网关(IP地址:10.0.0.1) 没有证书配置文件

客户端证书身份验证将失败,因为网关在相同时没有配置任何证书配置文件IP地址

  1. 场景#2

  • GlobalProtect 在 ethernet1/3 上配置的门户 (IP地址:10.0.0.1)无证书配置文件

  • GlobalProtect 在同一 ethernet1/3 上配置的网关(IP地址:10.0.0.1)使用证书配置文件Cert-Prof-1

客户端证书身份验证将起作用,因为证书配置文件在网关上,当两者在同一IP地址

  1. 场景#3

  • GlobalProtect 在 ethernet1/3 上配置的门户 (IP地址:10.0.0.1)使用证书配置文件Cert-Prof-1

  • GlobalProtect 在同一 ethernet1/3 上配置的网关(IP地址:10.0.0.1)使用证书配置文件Cert-Prof-2

证书简介Cert-Prof-2将用于门户和网关客户端证书身份验证

  1. 场景#4

  • GlobalProtect 在 ethernet1/3 上配置的门户 (IP地址:10.0.0.1)使用证书配置文件Cert-Prof-1

  • GlobalProtect 在同一 ethernet1/3 上配置的网关(IP地址:10.0.0.2)使用证书配置文件Cert-Prof-2

证书简介Cert-Prof-1将用于 Portal 和Cert-Prof-2用于客户端证书身份验证的网关,因为两个都有不同的IP地址;虽然两者都在同一个界面上
  1. 场景#5

  • GlobalProtect 在 ethernet1/3 上配置的门户 (IP地址:10.0.0.1)使用证书配置文件Cert-Prof-1

  • GlobalProtect 在同一 ethernet1/4 上配置的网关(IP地址:10.1.0.1)使用证书配置文件Cert-Prof-2

证书简介Cert-Prof-1将用于 Portal 和Cert-Prof-2对于网关用于客户端证书身份验证,因为两者在不同的IP地址和接口
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFzCAK&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language