如何配置GlobalProtectSSO使用自签名证书进行登录前访问

 

下面的示例配置适用于驻留在同一台帕洛阿尔托网络设备上的一个门户和一个网关，但可以扩展以反映多个网关。 此示例使用本地数据库身份验证，但其他身份验证方法（LDAP 、Kerberos、Radius 等）都可以应用。

1. 生成根证书颁发机构 (CA ) 帕洛阿尔托网络设备上的证书。 这将用于为两者签署服务器证书GlobalProtect门户和网关，以及将部署到客户端机器的机器证书。
   
2. 生成服务器和机器证书。 每份证书应由CA在步骤 1 中创建的证书。
   
   

3.设备证书关联GlobalProtect应如下所示：

4.创建证书配置文件。 这将用于在与CA证书。 确保选择CA添加时的证书 'CA证书'。

5. 创建你的GP传送门如下：

a. 在门户配置下，配置网络和身份验证设置。 选择上面第 3 步生成的服务器证书。 对于证书配置文件，选择在步骤 4 中创建的配置文件。

b.在客户端配置下，创建一个配置文件。 这将被推送到GlobalProtect初始连接期间的客户端并重新发现网络尝试。
使用登录前访问方法配置登录前客户端配置。 使用“任何”用户配置另一个配置，以便包括预登录在内的所有用户都将获得相同的配置。 在受信任的根中CA部分，添加根CA在步骤 1 中创建。 该证书将被推送到连接代理。

6.A样本GlobalProtect网关配置如下所示。 确保使用在GlobalProtect门户配置。


7.下一步是导出机器证书，然后将其添加到本地计算机上的受信任证书存储区。 使用 PKCS12 文件格式并提供密码。

8.在客户端机器上，导入之前导出的机器证书。 下图演示了使用MMC本地计算机的证书管理单元。


9.这将执行证书导入向导。 按照步骤完成导入。 此示例的证书以 pkcs12 文件格式导出。 确保确认检测到正确的证书。

10.将证书安装到本地计算机个人证书存储中，然后确认安装。


11.此处，syslog 指示使用用户凭据成功连接与代理的初始连接。 随后，注销机器并验证机器是否仍然能够成功连接到两者GlobalProtect作为“预登录”用户的门户和网关，其机器证书由CA证书。
                           

 

拥有者：rkalugdan