Comment configurer le GlobalProtect portail avec l’authentification du client Cert et le profil du certificat

Ce document décrit les étapes à configurer avec un profil de GlobalProtect certificat client lors de l’utilisation d’un certificat client pour l’authentification avec ou sans autres méthodes d’authentification. L’exemple appliqué dans ce document se fait avec des certificats auto-signés, mais il peut également être fait avec un magasin CA interne. Se référer au document suivant pour la GlobalProtect configuration de base: GlobalProtect Configuration Tech Note.

1. Aller à l’appareil > certificats

La capture d'écran ci-dessus montre ce qui suit:

1. • Le certificat auto-signé CA « Root- " qui sera utilisé pour signer ce qui suit:
     • Certificat serveur utilisé pour les connexions au Portail GlobalProtect et à la Passerelle.
     • Certificat client utilisé pour importer sur les clients lorsque vous souhaitez utiliser un certificat client pour l'Authentification aussi bien ou seul.
   • Le Serveur Cert signé par root- avec CA le nom objet qui correspond à l’adresse que le client IP interrogera pour les GlobalProtect connexions Portail et Passerelle.
     • Note: FQDN sera utilisé pour le nom commun au lieu de IP s’il est FQDN listé dans la configuration des adresses Gateway. Le CN nom du certificat et l’adresse des requêtes du client doivent être les mêmes.
   • Le Client Cert a également signé par le Root- CA avec le certificat de client de nom commun.
     • Note: Le nom cert client n’a pas d’importance ici tant qu’il est importé dans les machines hôtes correctement et est signé par le Root- CA .

2. Passez au profil du certificat d'>'appareil

Cliquez ajouter et ajouter la CA racine- dans le profil. Cliquez OK pour enregistrer.

3. Allez à Network Tab > GlobalProtect Portal

• 1. Cliquez sur la configuration de votre portail et ajoutez le profil du certificat à la GlobalProtect
     note du portail : vous pouvez en option avoir un profil d’authentification dans votre configuration. T son ne fonctionnera que lorsque le profil du certificat a configuré le nom d’utilisateur. Le commit échouera s’il GlobalProtect est configuré avec juste un profil de certificat comme authentification, où le nom d’utilisateur dans le profil est « aucun ».
     
  2. Cliquez sur l’onglet Configuration client dans la configuration portail et assurez-vous d’énumérer la root CA sous la section Racine de confiance.
     

4. Passez à Network > GlobalProtect Gateway

1. Cliquez sur la configuration de votre passerelle
2. Ajoutez le profil de certificat à la note de
   passerelle : vous pouvez en option avoir un profil d’authentification dans votre configuration.
   

5. Aller à l’appareil > certificats

• • Exporter la CA racine- comme PEM sans clé
  • Exporter le certificat serveur comme PEM sans clé
  • Exporter le CERT client en tant que PKCS12 avec Key

6. Engagez vos modifications

Sur votre ordinateur :

Note: Si vous utilisez une source de certificat tiers, l’importation de la racine CA ne sera pas nécessaire car il faut déjà lui faire confiance.

1. Ouvrez le magasin de certificats de console en appuyant sur le menu Démarrer et en tapant "MMC".
   
2. Cliquez sur fichier et cliquez sur Ajouter/supprimer un composant logiciel enfichable et cliquez sur certificats
   
3. Cliquez sur ajouter pour déplacer les certificats plus de snap-in et cliquez sur la
   finition « Mon compte d’utilisateur » est pour un compte. S’il y aura plusieurs autres comptes sur l’ordinateur qui utiliseront le GlobalProtect « compte informatique » sélectionné.
   
4. Appuyez OK pour terminer cette étape
   
   • Les certificats doivent maintenant être vus sous le dossier racine de la console.
5. Cliquez sur la flèche de gauche en regard de certificats pour que les dossiers affichent les magasins de certificats pour le compte d'utilisateur
   
6. Cliquez sur la flèche gauche en regard du dossier certificats racine approuvés pour afficher le dossier certificats pour les certificats racine approuvés
   
7. Cliquez avec le bouton droit sur le dossier certificats racine de confiance > Certificate et cliquez sur Importer
   1. L'Assistant d'importation va démarrer. Cliquez ensuite.
      
   2. Cliquez sur Parcourir et trouver la racine- CA . Vous devrez peut-être modifier le type de fichier pour voir le fichier.
      
   3. Ouvrez le fichier et cliquez sur suivant à la fin de L'Assistant. La racine est désormais visible dans les certificats racine approuvés.
      
8. Importer le certificat client dans le dossier des certificats de > personnelle en cliquant à droite sur le dossier Certificats sous le dossier personnel, puis en cliquant sur Toutes les tâches >
   Note d’importation: Puisque le certificat client est en format PKCS12 avec clé privée, l’assistant demandera le mot de passe utilisé lorsque vous l’avez exporté.   
   
   
9. Suivez à nouveau l'Assistant importation pour terminer l'importation du certificat client dans le dossier personnel.
   
10. Rendez-vous sur le Web Broswer et rendez-vous sur votre portail pour télécharger le GlobalProtect Client
    Lorsqu’il est invité, choisissez le certificat client qui doit être utilisé. Cela est nécessaire pour que l'authentification du portail réussisse. Une fois le certificat choisi, la page Portail se chargera.
    Note: L’exemple suivant est IE pour , mais Firefox et Chrome auront des invites similaires
    

Sur la page portail si une autre méthode d'Authentification est configurée, vous verrez les champs nom d'utilisateur et mot de passe

Si le profil d'Authentification est défini sur None et que le certificat client de l'utilisateur est valide, l'utilisateur sera autorisé à accéder au portail et n'aura pas besoin de s'authentifier à nouveau.

Remarque: son T ne fonctionnera que lorsque le profil du certificat a configuré le nom d’utilisateur. Le commit échouera s’il GlobalProtect est configuré avec juste un profil de certificat comme authentification, où le nom d’utilisateur dans le profil est « aucun ».

propriétaire: glasater