Wie man Zertifikate an GlobalProtect-Geräte herausgibt
Resolution
Übersicht
In diesem Dokument werden die Konfigurationsschritte beschrieben, die den GlobalProtect-Zugang nur für zertifizierte Geräte einschränken.
Details
Dies verhindert, dass GlobalProtect-Nutzer unbekannte Geräte verwenden. Im folgenden finden Sie eine Liste von Anforderungen, die sicherstellen, dass die entsprechenden Windows, Mac OS X, iOS und Android-Geräte ein VPN mit GlobalProtect einrichten können:
- Das SSL-Zertifikat der Palo Alto Networks Firewall muss über einen voll qualifizierten Domain-Namen verfügen, der sich auf die IP-Adresse des GlobalProtect-Portals und das Gateway zur Befriedigung der Apple-iOS-Anforderungen auflöst. (Der Benutzer kann eine IP-Adresse im GemeinSamen Namensfeld angeben, wenn iOS nicht in der Liste der unterstützten Geräte enthalten ist).
- Dieses Zertifikat wird zur Unterzeichnung eines Maschinen Zertifikats verwendet
- Das Portal wird dieses Zertifikat nicht verteilen
- Das GlobalProtect-Portal und das Gateway werden das SSL-Zertifikat der Firewall verwenden, das dann ein Gerät benötigt, um das ausgegebene Maschinen Zertifikat zur Verifizierung vorzulegen. Das Maschinen Zertifikat bescheinigt das Gerät. EIN Benutzer muss sich noch richtig authentifizieren, um den Tunnel zu errichten.
Gerät zur > Zertifikatsverwaltung > Zertifikate
Dies ist das primäre SSL-Zertifikat der Firewall. Als dieses Zertifikat erstellt wurde, wurde der voll qualifizierte Domain-Name im GemeinSamen Namensfeld eingegeben und das Zertifikat Autoritäts Feld überprüft. Es ist notwendig, dass ein FQDN von der Firewall präsentiert wird, wenn sich ein iOS-Gerät mit ihm verbindet. Das unten gezeigte Zertifikat wurde für andere Funktionen ausgewählt, aber für dieses Thema wird es zur Unterzeichnung des Maschinen Zertifikats verwendet.
Maschinen Schein erstellen
Gehen Sie zu Device > Zertifikats Management > Zertifikate, klicken Sie auf generieren, um ein neues Zertifikat zu erstellen. Dies ist das Maschinen Zertifikat, das allen Geräten zur Verfügung gestellt wird, die es für GlobalProtect verwenden können. Beachten Sie, dass dieses Zertifikat durch das zuvor illustrierte CA-Zertifikat unterzeichnet wurde. Alle Titel oder Informationen können unter Zertifikats Namen und GemeinSamen namens Feldern eingegeben werden.
Im folgenden finden Sie ein Beispiel dafür, wie die ZertifikatsInformationen aussehen würden, wenn Sie nach ihrer Erstellung betrachtet werden:
Ausfuhr Maschinen Bescheinigung
Wählen Sie das PKCS12-Dateiformat und geben Sie ein Passwort ein, um diesen Schlüssel zu verschlüsseln. Dieses Zertifikat muss auf einem Gerät installiert werden, bevor es zum ersten Mal eine GlobalProtect-Verbindung versucht:
Zertifikats Profil erstellen
Das SSL-Zertifikat der Firewall muss in ein Zertifikats Profil aufgenommen werden, damit das Profil im GlobalProtect-Gateway angegeben werden kann:
Gehen Sie zum Gerät > GlobalProtect > Gateway und geben Sie Zertifikate für das Gateway an.
Das SSL-Zertifikat der Firewall wird für das Server-Zertifikats Feld ausgewählt, wie unten gezeigt:
Gehen Sie zum Gerät > GlobalProtect > Portal > Portal Konfiguration
Das Kunden Zertifikats Feld wird verwendet, um das Maschinen Zertifikat auf eine GlobalProtect-Plattform zu verteilen, was bedeutet, dass jeder Benutzer, der sich erfolgreich von jedem Gerät authentifiziert, dieses Zertifikat erhalten würde. Lassen Sie dies leer, um dies zu verhindern.
Das Feld Zertifikats Profil wird verwendet, um das CA-Zertifikat anzugeben, das das Zertifikat unterzeichnet, das das Gerät vorlegen muss, wenn man zur GlobalProtect-Client-Software-Download-Seite auf der Firewall geht. Der GlobalProtect-Agent wird auch ein Maschinen Zertifikat vorlegen, wenn er sich mit dem Portal verbindet, um Updates abzurufen. Der Benutzer kann das zuvor erstellte Zertifikats Profil nutzen wollen, sobald er dieses Setup funktioniert hat.
Gehen Sie zum Gerät > GlobalProtect > Portal > Client-Konfiguration
Im Portal Dialogfenster wählen Sie die Client-Konfiguration aus und öffnen dann ein Konfigurations Profil, das dort aufgelistet ist. Das folgende Dialogfenster wird angezeigt. Das Kunden Zertifikats Feld gibt das Zertifikat an, das der GlobalProtect dem Gateway zur Zertifizierung des Verbindungs Gerätes vorlegen muss. Dieses Zertifikat muss durch das Server-Zertifikat unterzeichnet werden, das das Gateway verwendet. Es handelt sich um das gleiche Zertifikat, das im PKCS12-Format im Abschnitt Export Maschinen Zertifikat exportiert wurde.
Sobald diese Einstellungen begangen wurden, kann ein Benutzer, der sich erfolgreich authentifiziert, dies nur von einem Gerät aus tun, das über das erforderliche Maschinen Zertifikat verfügt.
Besitzer: Jjosephs