Konfigurieren von GlobalProtect Portal mit Client-Zertifikat-Authentifizierung und Zertifikatprofil

Konfigurieren von GlobalProtect Portal mit Client-Zertifikat-Authentifizierung und Zertifikatprofil

240581
Created On 09/25/18 17:41 PM - Last Modified 09/23/21 17:34 PM


Symptom


In diesem Dokument werden die Schritte beschrieben, die mit einem Clientzertifikatprofil konfiguriert werden sollen, wenn ein Clientzertifikat für die GlobalProtect Authentifizierung mit oder ohne andere Authentifizierungsmethoden verwendet wird. Das in diesem Dokument angewendete Beispiel wird mit selbstsignierten Zertifikaten ausgeführt, kann aber auch mit einem internen Speicher ausgeführt CA werden. Im folgenden Dokument finden Sie eine grundlegende GlobalProtect Konfiguration: GlobalProtect Configuration Tech Note.

Resolution


 

1. Gehen Sie zu Device > Certificates

Benutzeriertes Bild

Der obige Screenshot zeigt Folgendes:

    • Das selbstsignierte Zertifikat "Root- CA ", das zum Signieren der folgenden Zeichen verwendet wird:
      • Serverzertifikat, das für die Verbindungen mit dem Portal und gateway verwendet GlobalProtect wird.
      • Client-Zertifikat verwendet, um auf die Kunden zu importieren, wenn Sie ein Client-Zertifikat für die Authentifizierung als auch oder allein verwenden möchten.
    • Das Server-Zertifikat, das vom Root-Zertifikat mit dem Antragstellernamen signiert CA wurde, der mit der Adresse IP übereinstimmt, die der Client für die GlobalProtect Portal- und Gateway-Verbindungen abfragt.
      • Hinweis: FQDN wird für den allgemeinen Namen verwendet, anstatt IP wenn in der Konfiguration für FQDN Gateway-Adressen aufgeführt wird. Der CN Zertifikatsname und die Adresse der Clientabfragen sollten identisch sein.
    • Das Client Cert wird auch vom Root- CA mit dem Common Name Client Certificate signiert.
      • Hinweis: Der Client-Zertifizierungsname spielt hier keine Rolle, solange er korrekt in die Host-Rechner importiert und vom Root- signiert CA wird.

 

2. Gehen Sie zu Device > Zertifikatsprofil

Klicken Sie auf Hinzufügen und fügen Sie den Stamm CA im Profil hinzu. Klicken Sie OK hier, um zu speichern.

Benutzeriertes Bild

 

3. Gehen Sie zu Netzwerk-Tab > GlobalProtect Portal

    1. Klicken Sie auf Ihre Portalkonfiguration und fügen Sie das Zertifikatsprofil zum GlobalProtect
      Portalhinweis hinzu: Sie können optional ein Authentifizierungsprofil in Ihrer Konfiguration haben. T seine funktioniert nur, wenn im Zertifikatprofil der Benutzername konfiguriert ist. Der Commit schlägt fehl, wenn GlobalProtect er nur mit einem Zertifikatprofil als Authentifizierung konfiguriert ist, wobei der Benutzername im Profil "keine" lautet.
      Benutzeriertes Bild
    2. Klicken Sie in der Portalkonfiguration auf die Registerkarte Clientkonfiguration, und stellen Sie sicher, dass Sie den Stamm CA unter dem Abschnitt "Vertrauenswürdiger Stamm" auflisten.
      Benutzeriertes Bild

4. Gehen Sie zu Network > GlobalProtect Gateway

  1. Klicken Sie auf ihre Gateway-Konfiguration
  2. Hinzufügen des Zertifikatprofils zum
    Gateway-Hinweis: Sie können optional ein Authentifizierungsprofil in Ihrer Konfiguration haben.
    Benutzeriertes Bild

5. Gehen Sie zu Device > Certificates

    • Exportieren Sie die Root- CA wie PEM ohne Schlüssel
    • Exportieren des Serverzertifikats PEM ohne Schlüssel
    • Exportieren Sie den Client CERT als PKCS12 mit Schlüssel

6. Übernehmen Sie Ihre Änderungen

 

Auf Ihrem Computer:

Hinweis: Wenn Sie eine Drittanbieterzertifikatquelle verwenden, ist das Importieren des Stamms nicht erforderlich, da ihm CA bereits vertraut werden sollte.

  1. Öffnen Sie den Konsolen-Zertifikats Speicher, indem Sie das Startmenü drücken und "MMC" tippen.
    mmc-Konsole.PNG
  2. Klicken Sie auf Datei und klicken Sie auf das HinzuFügen/Entfernen von SchnappSchuss und klicken Sie auf Zertifikate
    Snap in Cert.PNG
  3. Klicken Sie auf Hinzufügen, um Zertifikate in Snap-In zu verschieben, und klicken Sie auf
    "Mein Benutzerkonto" für ein Konto beenden. Wenn sich mehrere andere Konten auf dem Computer befinden, die die GlobalProtect Option "Computerkonto" verwenden.
    Snap in Benutzer.PNG
  4. Drücken OK Sie, um diesen Schritt abzuschließen
    Snap im Finish.PNG
    • Zertifikate sollten nun unter dem Konsolen-Root-Ordner eingesehen werden.
  5. Klicken Sie auf den linken Pfeil neben den Zertifikaten, damit die Ordner die Zertifikats Speicher für das Benutzerkonto anzeigen
    Snap in Cert-Finish.PNG
  6. Klicken Sie auf den linken Pfeil neben dem Ordner Trusted Root-Zertifikate, um den Zertifikats Ordner für VertrauensWürdige Root-Zertifikate zu sehen
    Vertrauenswürdiger Stamm.PNG
  7. Klicken Sie mit der rechten Maustaste auf die VertrauensWürdigen Root-Zertifikate > Zertifikats Ordner
    1. Der Import-Assistent startet. Klicken Sie auf Weiter.
      Import-Assistent.PNG
    2. Klicken Sie auf Durchsuchen und finden Sie die Root- CA . Möglicherweise müssen Sie den Dateityp ändern, um die Datei zu sehen.
      Durchsuchen Sie den Sucher.PNG
    3. Öffnen Sie die Datei und klicken Sie auf weiter durch das Ende des Assistenten. Die Wurzel wird nun in den VertrauensWürdigen Root-Zertifikaten zu sehen sein.
      Wurzel in Stoer.PNG
  8. Importieren Sie das Clientzertifikat in den Ordner Persönliche > Zertifikate, indem Sie mit der rechten Maustaste auf den Ordner "Zertifikate" unter dem Ordner Persönliche klicken und dann auf Alle Aufgaben >
    Importhinweis klicken: Da das Clientzertifikat im PKCS12-Format mit privatem Schlüssel ist, fragt der Assistent nach dem Kennwort, das beim Exportieren verwendet wurde.   
    Persönlicher Ordner.PNG
    PKCS12-Kennwort.PNG
  9. Folgen Sie dem Import-Assistenten erneut, um den Import des Client-Zertifikats in den persönlichen Ordner zu vervollständigen.
    Client Cert Store.PNG
  10. Gehen Sie zum Web Broswer und gehen Sie zu Ihrem Portal, um die GlobalProtect Client
    Wenn Sie dazu aufgefordert werden, wählen Sie das Clientzertifikat aus, das verwendet werden soll. Dies ist notwendig, damit die Portal Authentifizierung erfolgreich ist. Sobald das Zertifikat ausgewählt wurde, wird die Portalseite geladen.
    Hinweis: Das folgende Beispiel ist für IE , aber Firefox und Chrome haben ähnliche Eingabeaufforderungen
    Client Cert Wahl.PNG

 

Auf der Portalseite, wenn eine andere Authentifizierungsmethode konfiguriert ist, werden Sie die Benutzernamen und Pass Wort Felder sehen
7.die png

Wenn das Authentifizierungs Profil auf keines gesetzt ist und das Client-Zertifikat des Nutzers gültig ist, wird dem Nutzer der Zugriff auf das Portal gestattet und es muss sich nicht erneut authentifizieren.

Hinweis: T Er funktioniert nur, wenn im Zertifikatprofil der Benutzername konfiguriert ist. Der Commit schlägt fehl, wenn GlobalProtect er nur mit einem Zertifikatprofil als Authentifizierung konfiguriert ist, wobei der Benutzername im Profil "keine" lautet.

8.die png

 

Besitzer: glasater
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClIICA0&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language