Konfigurieren von GlobalProtect Portal mit Client-Zertifikat-Authentifizierung und Zertifikatprofil
Symptom
In diesem Dokument werden die Schritte beschrieben, die mit einem Clientzertifikatprofil konfiguriert werden sollen, wenn ein Clientzertifikat für die GlobalProtect Authentifizierung mit oder ohne andere Authentifizierungsmethoden verwendet wird. Das in diesem Dokument angewendete Beispiel wird mit selbstsignierten Zertifikaten ausgeführt, kann aber auch mit einem internen Speicher ausgeführt CA werden. Im folgenden Dokument finden Sie eine grundlegende GlobalProtect Konfiguration: GlobalProtect Configuration Tech Note.
Resolution
1. Gehen Sie zu Device > Certificates
Der obige Screenshot zeigt Folgendes:
- Das selbstsignierte Zertifikat "Root- CA ", das zum Signieren der folgenden Zeichen verwendet wird:
- Serverzertifikat, das für die Verbindungen mit dem Portal und gateway verwendet GlobalProtect wird.
- Client-Zertifikat verwendet, um auf die Kunden zu importieren, wenn Sie ein Client-Zertifikat für die Authentifizierung als auch oder allein verwenden möchten.
- Das Server-Zertifikat, das vom Root-Zertifikat mit dem Antragstellernamen signiert CA wurde, der mit der Adresse IP übereinstimmt, die der Client für die GlobalProtect Portal- und Gateway-Verbindungen abfragt.
- Hinweis: FQDN wird für den allgemeinen Namen verwendet, anstatt IP wenn in der Konfiguration für FQDN Gateway-Adressen aufgeführt wird. Der CN Zertifikatsname und die Adresse der Clientabfragen sollten identisch sein.
- Das Client Cert wird auch vom Root- CA mit dem Common Name Client Certificate signiert.
- Hinweis: Der Client-Zertifizierungsname spielt hier keine Rolle, solange er korrekt in die Host-Rechner importiert und vom Root- signiert CA wird.
- Das selbstsignierte Zertifikat "Root- CA ", das zum Signieren der folgenden Zeichen verwendet wird:
2. Gehen Sie zu Device > Zertifikatsprofil
Klicken Sie auf Hinzufügen und fügen Sie den Stamm CA im Profil hinzu. Klicken Sie OK hier, um zu speichern.
3. Gehen Sie zu Netzwerk-Tab > GlobalProtect Portal
- Klicken Sie auf Ihre Portalkonfiguration und fügen Sie das Zertifikatsprofil zum GlobalProtect
Portalhinweis hinzu: Sie können optional ein Authentifizierungsprofil in Ihrer Konfiguration haben. T seine funktioniert nur, wenn im Zertifikatprofil der Benutzername konfiguriert ist. Der Commit schlägt fehl, wenn GlobalProtect er nur mit einem Zertifikatprofil als Authentifizierung konfiguriert ist, wobei der Benutzername im Profil "keine" lautet.
- Klicken Sie in der Portalkonfiguration auf die Registerkarte Clientkonfiguration, und stellen Sie sicher, dass Sie den Stamm CA unter dem Abschnitt "Vertrauenswürdiger Stamm" auflisten.
- Klicken Sie auf Ihre Portalkonfiguration und fügen Sie das Zertifikatsprofil zum GlobalProtect
4. Gehen Sie zu Network > GlobalProtect Gateway
- Klicken Sie auf ihre Gateway-Konfiguration
- Hinzufügen des Zertifikatprofils zum
Gateway-Hinweis: Sie können optional ein Authentifizierungsprofil in Ihrer Konfiguration haben.
5. Gehen Sie zu Device > Certificates
- Exportieren Sie die Root- CA wie PEM ohne Schlüssel
- Exportieren des Serverzertifikats PEM ohne Schlüssel
- Exportieren Sie den Client CERT als PKCS12 mit Schlüssel
6. Übernehmen Sie Ihre Änderungen
Auf Ihrem Computer:
Hinweis: Wenn Sie eine Drittanbieterzertifikatquelle verwenden, ist das Importieren des Stamms nicht erforderlich, da ihm CA bereits vertraut werden sollte.
- Öffnen Sie den Konsolen-Zertifikats Speicher, indem Sie das Startmenü drücken und "MMC" tippen.
- Klicken Sie auf Datei und klicken Sie auf das HinzuFügen/Entfernen von SchnappSchuss und klicken Sie auf Zertifikate
- Klicken Sie auf Hinzufügen, um Zertifikate in Snap-In zu verschieben, und klicken Sie auf
"Mein Benutzerkonto" für ein Konto beenden. Wenn sich mehrere andere Konten auf dem Computer befinden, die die GlobalProtect Option "Computerkonto" verwenden.
- Drücken OK Sie, um diesen Schritt abzuschließen
- Zertifikate sollten nun unter dem Konsolen-Root-Ordner eingesehen werden.
- Klicken Sie auf den linken Pfeil neben den Zertifikaten, damit die Ordner die Zertifikats Speicher für das Benutzerkonto anzeigen
- Klicken Sie auf den linken Pfeil neben dem Ordner Trusted Root-Zertifikate, um den Zertifikats Ordner für VertrauensWürdige Root-Zertifikate zu sehen
- Klicken Sie mit der rechten Maustaste auf die VertrauensWürdigen Root-Zertifikate > Zertifikats Ordner
- Der Import-Assistent startet. Klicken Sie auf Weiter.
- Klicken Sie auf Durchsuchen und finden Sie die Root- CA . Möglicherweise müssen Sie den Dateityp ändern, um die Datei zu sehen.
- Öffnen Sie die Datei und klicken Sie auf weiter durch das Ende des Assistenten. Die Wurzel wird nun in den VertrauensWürdigen Root-Zertifikaten zu sehen sein.
- Der Import-Assistent startet. Klicken Sie auf Weiter.
- Importieren Sie das Clientzertifikat in den Ordner Persönliche > Zertifikate, indem Sie mit der rechten Maustaste auf den Ordner "Zertifikate" unter dem Ordner Persönliche klicken und dann auf Alle Aufgaben >
Importhinweis klicken: Da das Clientzertifikat im PKCS12-Format mit privatem Schlüssel ist, fragt der Assistent nach dem Kennwort, das beim Exportieren verwendet wurde.
- Folgen Sie dem Import-Assistenten erneut, um den Import des Client-Zertifikats in den persönlichen Ordner zu vervollständigen.
- Gehen Sie zum Web Broswer und gehen Sie zu Ihrem Portal, um die GlobalProtect Client
Wenn Sie dazu aufgefordert werden, wählen Sie das Clientzertifikat aus, das verwendet werden soll. Dies ist notwendig, damit die Portal Authentifizierung erfolgreich ist. Sobald das Zertifikat ausgewählt wurde, wird die Portalseite geladen.
Hinweis: Das folgende Beispiel ist für IE , aber Firefox und Chrome haben ähnliche Eingabeaufforderungen
Auf der Portalseite, wenn eine andere Authentifizierungsmethode konfiguriert ist, werden Sie die Benutzernamen und Pass Wort Felder sehen
Wenn das Authentifizierungs Profil auf keines gesetzt ist und das Client-Zertifikat des Nutzers gültig ist, wird dem Nutzer der Zugriff auf das Portal gestattet und es muss sich nicht erneut authentifizieren.
Hinweis: T Er funktioniert nur, wenn im Zertifikatprofil der Benutzername konfiguriert ist. Der Commit schlägt fehl, wenn GlobalProtect er nur mit einem Zertifikatprofil als Authentifizierung konfiguriert ist, wobei der Benutzername im Profil "keine" lautet.
Besitzer: glasater