Cómo emitir certificados a dispositivos GlobalProtect

Cómo emitir certificados a dispositivos GlobalProtect

66106
Created On 09/25/18 17:41 PM - Last Modified 06/08/23 02:36 AM


Resolution


Resumen

Este documento describe los pasos de configuración que restringirán el acceso a GlobalProtect sólo para dispositivos certificados.

Detalles

Esto evitará que los usuarios GlobalProtect utilicen dispositivos desconocidos. La siguiente es una lista de requisitos que asegurarán que los dispositivos Windows, Mac OS X, iOS y Android apropiados puedan establecer una VPN con GlobalProtect:

  1. El certificado SSL de Palo Alto Networks Firewall debe tener un nombre de dominio completamente cualificado que resuelva la dirección IP del portal GlobalProtect y gateway para satisfacer los requerimientos de Apple iOS. (El usuario puede especificar una dirección IP en el campo Nombre común si iOS no está incluido en la lista de dispositivos soportados).
  2. Este certificado se usará para firmar un certificado de máquina
  3. El portal no va a distribuir este certificado
  4. El portal GlobalProtect y Gateway usarán el certificado SSL del firewall, el cual requiere que un dispositivo presente el certificado de máquina emitido para su verificación. El certificado de la máquina certifica el dispositivo. Un usuario debe seguir autenticando correctamente para poder establecer el túnel.

Ir a dispositivo > certificado de gestión > certificados

Este es el certificado SSL primario del firewall. Cuando se creó este certificado, el nombre de dominio completo se introdujo en el campo Nombre común y se verificó el cuadro autoridad de certificados. Es necesario que un FQDN sea presentado por el Firewall cuando un dispositivo iOS se conecta a él. El certificado que se muestra a continuación se ha seleccionado para otras funciones, pero para este tema, se va a utilizar para firmar el certificado de la máquina.

SelfSignedFQDN-CACert. jpg

Crear certificado de máquina

Ir al dispositivo > administración de certificados > certificados, haga clic en generar para crear un nuevo certificado. Este es el certificado de la máquina que se proporcionará a todos los dispositivos que pueden utilizarlo para GlobalProtect. Aviso este certificado está firmado por el certificado CA previamente ilustrado.  Cualquier título o información se puede introducir bajo el nombre del certificado y los campos de nombre común.

GenerateDeviceCertificate. jpg

A continuación se muestra un ejemplo de lo que la información del certificado se vería como verla después de haber sido creada:

ViewDeviceCertificate. jpg

Exportar certificado de máquina

Seleccione el formato de archivo PKCS12 e introduzca una contraseña para cifrar esta clave. Este certificado debe instalarse en un dispositivo antes de que intente primero una conexión GlobalProtect:

ExportCertificate. jpg

Crear Perfil de certificado

El certificado SSL del cortafuegos debe agregarse a un perfil de certificado para que el perfil se pueda especificar en la puerta de enlace GlobalProtect:

CertificateProfile. jpg

Ir al dispositivo > GlobalProtect > Gateway y especificar certificados para el Gateway.

El certificado SSL del cortafuegos está seleccionado para el campo certificado del servidor, como se muestra a continuación:

GatewayGeneral. jpg

Ir al dispositivo > GlobalProtect > portal > configuración del portal

El campo certificado de cliente se utiliza para distribuir el certificado de máquina a una plataforma GlobalProtect, lo que significa que cualquier usuario que autentica correctamente desde cualquier dispositivo recibirá este certificado. Deje esto en blanco para evitar que esto suceda.

El campo Perfil de certificado se utiliza para especificar el certificado de CA que firma el certificado que debe presentar el dispositivo cuando se va a la página de descarga de software del cliente de GlobalProtect en el cortafuegos. El agente GlobalProtect también presentará un certificado de máquina cuando se conecte al portal para recuperar las actualizaciones. Es posible que el usuario desee utilizar el perfil de certificado creado anteriormente una vez que este programa de instalación funcione.

PortalConfiguration. jpg

Ir al dispositivo > GlobalProtect > portal > configuración del cliente

En la ventana de diálogo del portal, seleccione Configuración de cliente y, a continuación, abra un perfil de configuración que se muestra allí. Aparecerá la siguiente ventana de diálogo. El campo certificado cliente especifica el certificado que el GlobalProtect debe presentar a la puerta de enlace para certificar el dispositivo de conexión. Este certificado debe estar firmado por el certificado de servidor que utiliza la pasarela. Este es el mismo certificado que se exportó en el formato PKCS12 en la sección exportar certificado de máquina anterior.

PortalClientConfigSpecificConfig. jpg

Una vez cometidas estas configuraciones, un usuario que autentica correctamente sólo puede hacerlo desde un dispositivo que tenga el certificado de máquina requerido.

Propietario: jjosephs
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClIHCA0&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language