Comment émettre des certificats pour les périphériques GlobalProtect
Resolution
Vue d’ensemble
Ce document décrit les étapes de configuration qui restreignent l'accès GlobalProtect pour uniquement les périphériques certifiés.
Détails
Cela empêchera les utilisateurs de GlobalProtect d'utiliser des périphériques inconnus. Voici une liste d'exigences qui garantiront que les périphériques Windows, Mac OS X, iOS et Android appropriés peuvent établir un VPN avec GlobalProtect:
- Le certificat SSL du pare-feu de Palo Alto Networks doit avoir un nom de domaine complet qui se résout à l'adresse IP du portail GlobalProtect et de la passerelle pour satisfaire aux exigences d'Apple iOS. (L'utilisateur peut spécifier une adresse IP dans le champ nom commun si iOS n'est pas inclus dans la liste des périphériques pris en charge).
- Ce certificat sera utilisé pour signer un certificat de machine
- Le portail ne distribuera pas ce certificat
- Le portail et la passerelle GlobalProtect utiliseront le certificat SSL du pare-feu, qui nécessite alors un périphérique pour présenter le certificat de machine délivré pour vérification. Le certificat de la machine certifie l'appareil. Un utilisateur doit toujours s'authentifier correctement afin d'établir le tunnel.
Allez dans appareil > gestion des certificats > certificats
Il s'agit du certificat SSL principal du pare-feu. Lorsque ce certificat a été créé, le nom de domaine complet a été entré dans le champ nom commun et la zone autorité de certification a été cochée. Il est nécessaire qu'un nom de domaine complet soit présenté par le pare-feu Lorsqu'un périphérique iOS se connecte à celui-ci. Le certificat indiqué ci-dessous a été sélectionné pour d'autres fonctions, mais pour cette rubrique, il va être utilisé pour signer le certificat de machine.
Créer un certificat de machine
Allez dans Device > Certificate Management > certificats, cliquez sur générer pour créer un nouveau certificat. Il s'agit du certificat de machine qui sera fourni à tous les périphériques qui peuvent l'utiliser pour GlobalProtect. Avis ce certificat est signé par le certificat d'AUTORITÉ de certification précédemment illustré. Tout titre ou information peut être entré sous nom de certificat et champs nom commun.
Voici un exemple de ce que les informations de certificat ressemblerait à l'affichage après qu'il a été créé:
Exporter le certificat de machine
Sélectionnez le format de fichier PKCS12 et entrez un mot de passe pour crypter cette clé. Ce certificat doit être installé sur un périphérique avant qu'il ne tente d'abord une connexion GlobalProtect:
Créer un profil de certificat
Le certificat SSL du pare-feu doit être ajouté à un profil de certificat afin que le profil puisse être spécifié dans la passerelle GlobalProtect:
Accédez à Device > GlobalProtect > Gateway et spécifiez des certificats pour la passerelle.
Le certificat SSL du pare-feu est sélectionné pour le champ certificat du serveur, comme indiqué ci-dessous:
Aller à l'Appareil > GlobalProtect > Portal > Configuration du portail
Le champ certificat client est utilisé pour distribuer le certificat d'ordinateur à une plate-forme GlobalProtect, ce qui signifie que tout utilisateur qui s'authentifie avec succès à partir de n'importe quel périphérique recevrait ce certificat. Laissez ce blanc pour empêcher que cela se produise.
Le champ Profil de certificat est utilisé pour spécifier le certificat d'AUTORITÉ de certification qui signe le certificat que le périphérique doit présenter Lorsqu'on va à la page de téléchargement du logiciel client GlobalProtect sur le pare-feu. L'agent GlobalProtect présentera également un certificat d'ordinateur Lorsqu'il se connectera au portail pour récupérer les mises à jour. L'utilisateur peut vouloir utiliser le profil de certificat créé plus tôt une fois qu'il a cette configuration de travail.
Allez sur Device > GlobalProtect > Portal > Configuration du client
Dans la fenêtre dialogue de portail, sélectionnez Configuration client, puis ouvrez un profil de configuration qui y est répertorié. La fenêtre de dialogue suivante s'affiche. Le champ certificat client spécifie le certificat que le GlobalProtect doit présenter à la passerelle pour certifier le périphérique de connexion. Ce certificat doit être signé par le certificat de serveur que la passerelle utilise. Il s'agit du même certificat qui a été exporté au format PKCS12 dans la section certificat de machine d'exportation ci-dessus.
Une fois ces paramètres validés, un utilisateur qui s'authentifie avec succès ne peut le faire qu'à partir d'un périphérique doté du certificat d'ordinateur requis.
propriétaire : jjosephs