Cómo configurar GlobalProtect portal con autenticación de certificado y perfil de certificado de certificado
Symptom
Este documento describe los pasos para configurar GlobalProtect con un perfil de certificado de cliente cuando se utiliza un certificado de cliente para la autenticación con o sin otros métodos de autenticación. El ejemplo aplicado en este documento se hace con los Certificados autofirmados, pero también se puede hacer con un CA almacén interno. Consulte el siguiente documento para la GlobalProtect configuración básica: GlobalProtect Nota técnica de configuración.
Resolution
1. Vaya a Certificados de > de dispositivos
La captura de pantalla de arriba muestra lo siguiente:
- El certificado autofirmado "Root- CA " que se utilizará para firmar lo siguiente:
- Certificado de servidor utilizado para las conexiones al portal y la GlobalProtect puerta de enlace.
- Certificado de cliente que se utiliza para importar en los clientes cuando se desea utilizar un certificado de cliente para la autenticación también o solo.
- El certificado de servidor firmado por la raíz- CA con el nombre del sujeto que coincide con la dirección que el cliente IP consultará para las conexiones de portal y GlobalProtect puerta de enlace.
- Nota: FQDN se usará para Nombre común en lugar de IP si se enumeran en la configuración de direcciones de puerta de FQDN enlace. El nombre del certificado CN y la dirección de las consultas de cliente deben ser los mismos.
- El certificado de cliente también firmado por la raíz- CA con el certificado de cliente de nombre común.
- Nota: El nombre del certificado de cliente no importa aquí mientras se importe correctamente en los equipos host y esté firmado por root- CA .
- El certificado autofirmado "Root- CA " que se utilizará para firmar lo siguiente:
2. Vaya al perfil del certificado del > del dispositivo
Haga clic en Agregar y agregue la CA raíz- en el perfil. Haga clic OK para guardar.
3. Vaya a Network Tab > GlobalProtect Portal
- Haga clic en la configuración del portal y agregue el perfil del certificado a la nota del GlobalProtect
portal: opcionalmente puede tener un perfil de autenticación en la configuración. T su sólo funcionará cuando el perfil del certificado tiene el nombre de usuario configurado. La confirmación fallará si GlobalProtect se configura con sólo un perfil de certificado como autenticación, donde el nombre de usuario en el perfil es "ninguno".
- Haga clic en la lengueta de la configuración del cliente en la configuración del portal y aseegurese enumerar la raíz- CA bajo sección raíz de confianza.
- Haga clic en la configuración del portal y agregue el perfil del certificado a la nota del GlobalProtect
4. Vaya a Network > GlobalProtect Gateway
- Haga clic en la configuración de la pasarela
- Agregue el perfil del certificado a la nota del
gateway: Usted puede opcionalmente tener un perfil de autenticación en su configuración.
5. Vaya a Certificados de > de Dispositivo
- Exportar la raíz- CA como PEM sin clave
- Exporte el certificado de servidor sin PEM clave
- Exportar el CERT del cliente como PKCS12 con la clave
6. Confirme sus cambios
En el equipo:
Nota: Si se utiliza un origen de certificado de terceros, la importación de la raíz CA no será necesaria, ya que ya debe ser de confianza.
- Abra el almacén de certificados de consola pulsando el menú Inicio y escribiendo "MMC".
- Haga clic en archivo y haga clic en Agregar o quitar complemento y haga clic en certificados
- Haga clic en agregar para mover certificados al complemento y haga clic en Finalizar
"Mi cuenta de usuario" es para una cuenta. Si habrá varias otras cuentas en el equipo que usarán la GlobalProtect opción "Cuenta de equipo".
- Pulse OK para finalizar este paso
- Los certificados deben verse ahora bajo la carpeta root de la consola.
- Haga clic en la flecha izquierda junto a los certificados para que las carpetas muestren los almacenes de certificados para la cuenta de usuario
- Haga clic en la flecha izquierda situada junto a la carpeta certificados raíz de confianza para ver la carpeta certificados para los certificados raíz de confianza
- Haga clic derecho en los certificados raíz de confianza > carpeta de certificado y haga clic en importar
- Se iniciará el Asistente de importación. Haga clic en Siguiente.
- Haga clic en Examinar y busque root- CA . Es posible que tenga que cambiar el tipo de archivo para ver el archivo.
- Abra el archivo y haga clic en siguiente a través del final del asistente. La raíz se verá ahora en los certificados raíz de confianza.
- Se iniciará el Asistente de importación. Haga clic en Siguiente.
- Importe el certificado de cliente en la carpeta Certificados de > personales haciendo clic con el botón derecho en la carpeta Certificados en la carpeta Personal y, a continuación, haga clic en Todas las tareas > Importar
nota: puesto que el certificado de cliente está en formato PKCS12 con clave privada, el asistente solicitará la contraseña utilizada al exportarlo.
- Siga de nuevo el Asistente de importación para completar la importación del certificado de cliente en la carpeta personal.
- Vaya a Web Broswer y vaya a su Portal para descargar el GlobalProtect Cliente
Cuando se le solicite, elija el certificado de cliente que se debe usar. Esto es necesario para que la autenticación del portal tenga éxito. Una vez elegido el certificado, se cargará la página Portal.
Nota: El siguiente ejemplo es para IE , pero Firefox y Chrome tendrán indicaciones similares
En la página del portal si se configura otro método de autenticación, verá los campos username y password
Si el perfil de autenticación se establece en None y el certificado de cliente del usuario es válido, el usuario tendrá acceso al portal y no tendrá que autenticarse de nuevo.
Nota: T su solo funcionará cuando el perfil del certificado tenga configurado el nombre de usuario. La confirmación fallará si GlobalProtect se configura con sólo un perfil de certificado como autenticación, donde el nombre de usuario en el perfil es "ninguno".
Propietario: glasater