Wie man Zertifikate an GlobalProtect-Geräte herausgibt

Wie man Zertifikate an GlobalProtect-Geräte herausgibt

66100
Created On 09/25/18 17:41 PM - Last Modified 06/08/23 02:36 AM


Resolution


Übersicht

In diesem Dokument werden die Konfigurationsschritte beschrieben, die den GlobalProtect-Zugang nur für zertifizierte Geräte einschränken.

Details

Dies verhindert, dass GlobalProtect-Nutzer unbekannte Geräte verwenden. Im folgenden finden Sie eine Liste von Anforderungen, die sicherstellen, dass die entsprechenden Windows, Mac OS X, iOS und Android-Geräte ein VPN mit GlobalProtect einrichten können:

  1. Das SSL-Zertifikat der Palo Alto Networks Firewall muss über einen voll qualifizierten Domain-Namen verfügen, der sich auf die IP-Adresse des GlobalProtect-Portals und das Gateway zur Befriedigung der Apple-iOS-Anforderungen auflöst. (Der Benutzer kann eine IP-Adresse im GemeinSamen Namensfeld angeben, wenn iOS nicht in der Liste der unterstützten Geräte enthalten ist).
  2. Dieses Zertifikat wird zur Unterzeichnung eines Maschinen Zertifikats verwendet
  3. Das Portal wird dieses Zertifikat nicht verteilen
  4. Das GlobalProtect-Portal und das Gateway werden das SSL-Zertifikat der Firewall verwenden, das dann ein Gerät benötigt, um das ausgegebene Maschinen Zertifikat zur Verifizierung vorzulegen. Das Maschinen Zertifikat bescheinigt das Gerät. EIN Benutzer muss sich noch richtig authentifizieren, um den Tunnel zu errichten.

Gerät zur > Zertifikatsverwaltung > Zertifikate

Dies ist das primäre SSL-Zertifikat der Firewall. Als dieses Zertifikat erstellt wurde, wurde der voll qualifizierte Domain-Name im GemeinSamen Namensfeld eingegeben und das Zertifikat Autoritäts Feld überprüft. Es ist notwendig, dass ein FQDN von der Firewall präsentiert wird, wenn sich ein iOS-Gerät mit ihm verbindet. Das unten gezeigte Zertifikat wurde für andere Funktionen ausgewählt, aber für dieses Thema wird es zur Unterzeichnung des Maschinen Zertifikats verwendet.

SelfSignedFQDN-CACert. jpg

Maschinen Schein erstellen

Gehen Sie zu Device > Zertifikats Management > Zertifikate, klicken Sie auf generieren, um ein neues Zertifikat zu erstellen. Dies ist das Maschinen Zertifikat, das allen Geräten zur Verfügung gestellt wird, die es für GlobalProtect verwenden können. Beachten Sie, dass dieses Zertifikat durch das zuvor illustrierte CA-Zertifikat unterzeichnet wurde.  Alle Titel oder Informationen können unter Zertifikats Namen und GemeinSamen namens Feldern eingegeben werden.

GenerateDeviceCertificate. jpg

Im folgenden finden Sie ein Beispiel dafür, wie die ZertifikatsInformationen aussehen würden, wenn Sie nach ihrer Erstellung betrachtet werden:

ViewDeviceCertificate. jpg

Ausfuhr Maschinen Bescheinigung

Wählen Sie das PKCS12-Dateiformat und geben Sie ein Passwort ein, um diesen Schlüssel zu verschlüsseln. Dieses Zertifikat muss auf einem Gerät installiert werden, bevor es zum ersten Mal eine GlobalProtect-Verbindung versucht:

Export Certificate. jpg

Zertifikats Profil erstellen

Das SSL-Zertifikat der Firewall muss in ein Zertifikats Profil aufgenommen werden, damit das Profil im GlobalProtect-Gateway angegeben werden kann:

CertificateProfile. jpg

Gehen Sie zum Gerät > GlobalProtect > Gateway und geben Sie Zertifikate für das Gateway an.

Das SSL-Zertifikat der Firewall wird für das Server-Zertifikats Feld ausgewählt, wie unten gezeigt:

GatewayGeneral. jpg

Gehen Sie zum Gerät > GlobalProtect > Portal > Portal Konfiguration

Das Kunden Zertifikats Feld wird verwendet, um das Maschinen Zertifikat auf eine GlobalProtect-Plattform zu verteilen, was bedeutet, dass jeder Benutzer, der sich erfolgreich von jedem Gerät authentifiziert, dieses Zertifikat erhalten würde. Lassen Sie dies leer, um dies zu verhindern.

Das Feld Zertifikats Profil wird verwendet, um das CA-Zertifikat anzugeben, das das Zertifikat unterzeichnet, das das Gerät vorlegen muss, wenn man zur GlobalProtect-Client-Software-Download-Seite auf der Firewall geht. Der GlobalProtect-Agent wird auch ein Maschinen Zertifikat vorlegen, wenn er sich mit dem Portal verbindet, um Updates abzurufen. Der Benutzer kann das zuvor erstellte Zertifikats Profil nutzen wollen, sobald er dieses Setup funktioniert hat.

PortalConfiguration. jpg

Gehen Sie zum Gerät > GlobalProtect > Portal > Client-Konfiguration

Im Portal Dialogfenster wählen Sie die Client-Konfiguration aus und öffnen dann ein Konfigurations Profil, das dort aufgelistet ist. Das folgende Dialogfenster wird angezeigt. Das Kunden Zertifikats Feld gibt das Zertifikat an, das der GlobalProtect dem Gateway zur Zertifizierung des Verbindungs Gerätes vorlegen muss. Dieses Zertifikat muss durch das Server-Zertifikat unterzeichnet werden, das das Gateway verwendet. Es handelt sich um das gleiche Zertifikat, das im PKCS12-Format im Abschnitt Export Maschinen Zertifikat exportiert wurde.

PortalClientConfigSpecificConfig. jpg

Sobald diese Einstellungen begangen wurden, kann ein Benutzer, der sich erfolgreich authentifiziert, dies nur von einem Gerät aus tun, das über das erforderliche Maschinen Zertifikat verfügt.

Besitzer: Jjosephs
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClIHCA0&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language