Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Comment configurer le GlobalProtect portail avec l’authentifica... - Knowledge Base - Palo Alto Networks

Comment configurer le GlobalProtect portail avec l’authentification du client Cert et le profil du certificat

271468
Created On 09/25/18 17:41 PM - Last Modified 09/23/21 17:34 PM


Symptom


Ce document décrit les étapes à configurer avec un profil de GlobalProtect certificat client lors de l’utilisation d’un certificat client pour l’authentification avec ou sans autres méthodes d’authentification. L’exemple appliqué dans ce document se fait avec des certificats auto-signés, mais il peut également être fait avec un magasin CA interne. Se référer au document suivant pour la GlobalProtect configuration de base: GlobalProtect Configuration Tech Note.



Resolution


 

1. Aller à l’appareil > certificats

Image ajoutée par l'utilisateur

La capture d'écran ci-dessus montre ce qui suit:

    • Le certificat auto-signé CA « Root- " qui sera utilisé pour signer ce qui suit:
      • Certificat serveur utilisé pour les connexions au Portail GlobalProtect et à la Passerelle.
      • Certificat client utilisé pour importer sur les clients lorsque vous souhaitez utiliser un certificat client pour l'Authentification aussi bien ou seul.
    • Le Serveur Cert signé par root- avec CA le nom objet qui correspond à l’adresse que le client IP interrogera pour les GlobalProtect connexions Portail et Passerelle.
      • Note: FQDN sera utilisé pour le nom commun au lieu de IP s’il est FQDN listé dans la configuration des adresses Gateway. Le CN nom du certificat et l’adresse des requêtes du client doivent être les mêmes.
    • Le Client Cert a également signé par le Root- CA avec le certificat de client de nom commun.
      • Note: Le nom cert client n’a pas d’importance ici tant qu’il est importé dans les machines hôtes correctement et est signé par le Root- CA .

 

2. Passez au profil du certificat d'>'appareil

Cliquez ajouter et ajouter la CA racine- dans le profil. Cliquez OK pour enregistrer.

Image ajoutée par l'utilisateur

 

3. Allez à Network Tab > GlobalProtect Portal

    1. Cliquez sur la configuration de votre portail et ajoutez le profil du certificat à la GlobalProtect
      note du portail : vous pouvez en option avoir un profil d’authentification dans votre configuration. T son ne fonctionnera que lorsque le profil du certificat a configuré le nom d’utilisateur. Le commit échouera s’il GlobalProtect est configuré avec juste un profil de certificat comme authentification, où le nom d’utilisateur dans le profil est « aucun ».
      Image ajoutée par l'utilisateur
    2. Cliquez sur l’onglet Configuration client dans la configuration portail et assurez-vous d’énumérer la root CA sous la section Racine de confiance.
      Image ajoutée par l'utilisateur

4. Passez à Network > GlobalProtect Gateway

  1. Cliquez sur la configuration de votre passerelle
  2. Ajoutez le profil de certificat à la note de
    passerelle : vous pouvez en option avoir un profil d’authentification dans votre configuration.
    Image ajoutée par l'utilisateur

5. Aller à l’appareil > certificats

    • Exporter la CA racine- comme PEM sans clé
    • Exporter le certificat serveur comme PEM sans clé
    • Exporter le CERT client en tant que PKCS12 avec Key

6. Engagez vos modifications

 

Sur votre ordinateur :

Note: Si vous utilisez une source de certificat tiers, l’importation de la racine CA ne sera pas nécessaire car il faut déjà lui faire confiance.

  1. Ouvrez le magasin de certificats de console en appuyant sur le menu Démarrer et en tapant "MMC".
    console mmc.PNG
  2. Cliquez sur fichier et cliquez sur Ajouter/supprimer un composant logiciel enfichable et cliquez sur certificats
    snap dans cert.PNG
  3. Cliquez sur ajouter pour déplacer les certificats plus de snap-in et cliquez sur la
    finition « Mon compte d’utilisateur » est pour un compte. S’il y aura plusieurs autres comptes sur l’ordinateur qui utiliseront le GlobalProtect « compte informatique » sélectionné.
    snap dans l’utilisateur.PNG
  4. Appuyez OK pour terminer cette étape
    snap en finition.PNG
    • Les certificats doivent maintenant être vus sous le dossier racine de la console.
  5. Cliquez sur la flèche de gauche en regard de certificats pour que les dossiers affichent les magasins de certificats pour le compte d'utilisateur
    Casser dans la finition cert.PNG
  6. Cliquez sur la flèche gauche en regard du dossier certificats racine approuvés pour afficher le dossier certificats pour les certificats racine approuvés
    Racine de confiance.PNG
  7. Cliquez avec le bouton droit sur le dossier certificats racine de confiance > Certificate et cliquez sur Importer
    1. L'Assistant d'importation va démarrer. Cliquez ensuite.
      assistant d’importation.PNG
    2. Cliquez sur Parcourir et trouver la racine- CA . Vous devrez peut-être modifier le type de fichier pour voir le fichier.
      Parcourir trouver.PNG
    3. Ouvrez le fichier et cliquez sur suivant à la fin de L'Assistant. La racine est désormais visible dans les certificats racine approuvés.
      Racine à Stoer.PNG
  8. Importer le certificat client dans le dossier des certificats de > personnelle en cliquant à droite sur le dossier Certificats sous le dossier personnel, puis en cliquant sur Toutes les tâches >
    Note d’importation: Puisque le certificat client est en format PKCS12 avec clé privée, l’assistant demandera le mot de passe utilisé lorsque vous l’avez exporté.   
    Dossier personnel.PNG
    Mot de passe PKCS12.PNG
  9. Suivez à nouveau l'Assistant importation pour terminer l'importation du certificat client dans le dossier personnel.
    Client Cert Store.PNG
  10. Rendez-vous sur le Web Broswer et rendez-vous sur votre portail pour télécharger le GlobalProtect Client
    Lorsqu’il est invité, choisissez le certificat client qui doit être utilisé. Cela est nécessaire pour que l'authentification du portail réussisse. Une fois le certificat choisi, la page Portail se chargera.
    Note: L’exemple suivant est IE pour , mais Firefox et Chrome auront des invites similaires
    Client Cert choix.PNG

 

Sur la page portail si une autre méthode d'Authentification est configurée, vous verrez les champs nom d'utilisateur et mot de passe
7. png

Si le profil d'Authentification est défini sur None et que le certificat client de l'utilisateur est valide, l'utilisateur sera autorisé à accéder au portail et n'aura pas besoin de s'authentifier à nouveau.

Remarque: son T ne fonctionnera que lorsque le profil du certificat a configuré le nom d’utilisateur. Le commit échouera s’il GlobalProtect est configuré avec juste un profil de certificat comme authentification, où le nom d’utilisateur dans le profil est « aucun ».

8. png

 

propriétaire: glasater



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClIICA0&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language