如何向 GlobalProtect 设备颁发证书
Resolution
概述
本文档描述将限制仅对已认证设备的 GlobalProtect 访问权限的配置步骤。
详细
这将防止 GlobalProtect 用户使用未知设备。下面是一个要求列表, 它将确保适当的 Windows、Mac OS X、iOS 和 Android 设备可以使用 GlobalProtect 建立 VPN:
- 帕洛阿尔托网络防火墙的 SSL 证书必须有一个完全合格的域名, 它解析为 GlobalProtect 门户和网关的 IP 地址, 以满足苹果 iOS 的要求。(如果 iOS 未包含在支持的设备列表中, 则用户可以在 "公用名称" 字段中指定 IP 地址)。
- 此证书将用于签署机器证书
- 门户不会分发此证书
- GlobalProtect 门户和网关将使用防火墙的 SSL 证书, 然后需要一个设备来显示颁发的机器证书以进行验证。机器证书证明该设备。为了建立隧道, 用户仍必须进行正确的身份验证。
转到设备 > 证书管理 > 证书
这是防火墙的主要 SSL 证书。创建此证书后, 在 "公用名称" 字段中输入了完全限定的域名, 并且选中了 "证书颁发机构" 框。当 iOS 设备连接到它时, 防火墙会显示一个 FQDN。下面显示的证书已被选择用于其他功能, 但对于本主题, 它将用于签署机器证书。
创建机器证书
转到设备 > 证书管理 > 证书, 单击 "生成" 以创建新证书。这是将提供给所有可用于 GlobalProtect 的设备的机器证书。请注意, 此证书由以前说明的 CA 证书签名。 任何标题或信息都可以在 "证书名称" 和 "公用名称" 字段下输入。
下面是证书信息在创建后将显示的外观的示例:
出口机器证书
选择 PKCS12 文件格式并输入密码以加密此密钥。必须在设备上安装此证书, 然后才能首先尝试 GlobalProtect 连接:
创建证书配置文件
防火墙的 SSL 证书需要添加到证书配置文件中, 以便可以在 GlobalProtect 网关中指定该配置文件:
转到设备 >> GlobalProtect > 网关并指定网关的证书。
为 "服务器证书" 字段选择了防火墙的 SSL 证书, 如下所示:
转到设备 >> GlobalProtect > 门户 > 门户配置
"客户端证书" 字段用于将计算机证书分发到 GlobalProtect 平台, 这意味着从任何设备成功进行身份验证的任何用户都将收到此证书。保留此空白以防止发生此事件。
"证书配置文件" 字段用于指定在 GlobalProtect 防火墙上的 "客户端软件下载" 页上签名设备必须显示的证书的 CA 证书。GlobalProtect 代理还将在连接到门户以检索更新时显示机器证书。用户可能希望在安装此设置后使用早期创建的证书配置文件。
转到设备 >> GlobalProtect > 门户 > 客户端配置
在 "门户对话" 窗口中, 选择 "客户端配置", 然后打开其中列出的配置文件。将显示以下对话窗口。"客户端证书" 字段指定 GlobalProtect 必须提交到网关以验证连接设备的证书。此证书需要由网关正在使用的服务器证书签名。这是在上面的 "导出机器证书"部分中以 PKCS12 格式导出的证书。
一旦提交了这些设置, 成功进行身份验证的用户只能从具有所需机器证书的设备中执行。
所有者︰ jjosephs