GlobalProtect デバイスに証明書を発行する方法
Resolution
概要
このドキュメントでは、認証済みデバイスに対してのみ GlobalProtect アクセスを制限する構成手順について説明します。
詳細
これにより、GlobalProtect ユーザーが不明なデバイスを使用できなくなります。以下は、適切な Windows、Mac OS X、iOS、および Android デバイスが GlobalProtect を使用して VPN を確立できるようにするための要件の一覧です。
- パロアルトネットワークファイアウォールの SSL 証明書は、Apple iOS の要件を満たすために GlobalProtect ポータルとゲートウェイの IP アドレスに解決される完全修飾ドメイン名を持っている必要があります。(サポートされているデバイスの一覧に iOS が含まれていない場合、ユーザーは [共通名] フィールドに IP アドレスを指定できます)。
- この証明書は、マシン証明書の署名に使用されます。
- ポータルはこの証明書を配布しません
- GlobalProtect ポータルとゲートウェイは、ファイアウォールの SSL 証明書を使用し、その後、検証のために発行されたマシン証明書を提示するデバイスを必要とします。マシン証明書は、デバイスを認定します。トンネルを確立するためには、ユーザーが正しく認証されている必要があります。
デバイスに移動 > 証明書管理 > 証明書
これは、ファイアウォールのプライマリ SSL 証明書です。この証明書が作成されると、[共通名] フィールドに完全修飾ドメイン名が入力され、[証明機関] ボックスがオンになります。iOS デバイスが接続するときに、ファイアウォールによって FQDN が提示される必要があります。次に示す証明書は他の機能に対して選択されていますが、このトピックでは、マシン証明書の署名に使用されます。
マシン証明書の作成
[デバイス] > [証明書管理] > [証明書] に移動し、[生成] をクリックして新しい証明書を作成します。これは、GlobalProtect に使用できるすべてのデバイスに提供されるマシン証明書です。この証明書は、前に示した CA 証明書によって署名されています。 タイトルまたは情報は、[証明書名] および [一般名] フィールドに入力できます。
以下に、証明書情報が作成された後に表示される内容の例を示します。
輸出機械証明書
PKCS12 ファイル形式を選択し、このキーを暗号化するためのパスワードを入力します。この証明書は、最初に GlobalProtect 接続を試みる前に、デバイスにインストールする必要があります。
証明書プロファイルの作成
GlobalProtect ゲートウェイでプロファイルを指定できるように、ファイアウォールの SSL 証明書を証明書プロファイルに追加する必要があります。
デバイス > GlobalProtect > ゲートウェイに移動し、ゲートウェイの証明書を指定します。
次に示すように、[サーバー証明書] フィールドにはファイアウォールの SSL 証明書が選択されています。
デバイス > GlobalProtect > ポータル > ポータルの構成に移動します。
[クライアント証明書] フィールドは、マシン証明書を GlobalProtect プラットフォームに配布するために使用され、任意のデバイスから正常に認証を受けたすべてのユーザーがこの証明書を受信することを意味します。これが起こらないように、この空白のままにします。
証明書プロファイルフィールドは、ファイアウォール上の GlobalProtect クライアントソフトウェアのダウンロードページに移動したときに、デバイスが提示する必要がある証明書に署名する CA 証明書を指定するために使用されます。また、GlobalProtect エージェントは、更新を取得するためにポータルに接続するときに、マシン証明書を提示します。ユーザーは、このセットアップ作業が完了したら、以前に作成した証明書プロファイルを使用することができます。
デバイス > GlobalProtect > ポータル > クライアントの構成に移動します。
[ポータルダイアログ] ウィンドウで、[クライアント構成] を選択し、そこに表示されている構成プロファイルを開きます。次のダイアログウィンドウが表示されます。[クライアント証明書] フィールドには、接続デバイスを認証するために GlobalProtect がゲートウェイに提示する必要がある証明書が指定されます。この証明書は、ゲートウェイが使用しているサーバー証明書によって署名する必要があります。これは、上記の [コンピュータ証明書のエクスポート] セクションの PKCS12 形式でエクスポートされた証明書と同じです。
これらの設定がコミットされると、正常に認証を行うユーザーは、必要なマシン証明書を持つデバイスからのみ実行できます。
所有者: jjosephs