GlobalProtectクライアント証明書認証と証明書プロファイルを使用してポータルを構成する方法
Symptom
このドキュメントでは、 GlobalProtect クライアント証明書を使用して他の認証方法を使用するか、または他の認証方法を使用しない場合に、クライアント証明書プロファイルを使用して構成する手順について説明します。 このドキュメントで適用される例は自己署名証明書で行われますが、内部ストアでも実行できます CA 。 基本設定については、次のドキュメント GlobalProtect を参照してください: GlobalProtect設定の注意事項。
Resolution
1. デバイス >証明書に移動する
上記のスクリーンショットは、以下を示します:
- 自己署名証明書 "Root-" CA は、次の署名に使用されます。
- ポータルおよびゲートウェイへの接続に使用されるサーバー証明書 GlobalProtect 。
- 認証にクライアント証明書を使用する場合にクライアント証明書をインポートするために使用される、または単独で。
- Root によって署名されたサーバー証明書で、 CA IP クライアントが GlobalProtect ポータルおよびゲートウェイ接続の照会を行うアドレスと一致するサブジェクト名。
- 注: FQDN は IP 、ゲートウェイ アドレスの構成にリストされている場合ではなく、共通名に使用されます FQDN 。 CNクライアントクエリの証明書名とアドレスは同じである必要があります。
- クライアント証明書も CA 、共通名クライアント証明書を使用して Root- によって署名されています。
- 注: クライアント証明書名がホスト マシンに正しくインポートされ、Root- によって署名されている限り、この名前は問題ではありません CA 。
- 自己署名証明書 "Root-" CA は、次の署名に使用されます。
2. デバイス>証明書プロファイルに移動
[追加] をクリックし、プロファイルに Root- CA を追加します。 クリック OK して保存します。
3. ポータルの [ネットワーク] タブ>移動 GlobalProtect します。
- ポータル構成をクリックし、ポータルノートに証明書プロファイルを GlobalProtect 追加
します : オプションで、構成に認証プロファイルを持つことができます。 T証明書プロファイルにユーザ名が設定されている場合にのみ機能します。 GlobalProtect証明書プロファイルのみを認証として設定した場合、プロファイル内のユーザー名が「none」である場合、コミットは失敗します。
- ポータルの設定で[クライアントの設定]タブをクリックし、[ CA 信頼されたルート]セクションの下にルートが表示されていることを確認します。
- ポータル構成をクリックし、ポータルノートに証明書プロファイルを GlobalProtect 追加
4. ネットワーク > ゲートウェイに移動 GlobalProtect する
- ゲートウェイの構成をクリックします。
- ゲートウェイノートに証明書プロファイルを追加
する: オプションで、設定に認証プロファイルを持つことができます。
5. デバイス>証明書に移動
- ルートをキー CA なしでエクスポート PEM する
- キーなしとしてサーバー証明書 PEM をエクスポート
- クライアント証明書をキーで PKCS12 としてエクスポートする
6. 変更を確定する
コンピュータの場合:
注: サードパーティの証明書ソースを使用している場合、ルートのインポート CA は既に信頼されている必要がありますので、必要ありません。
- [スタート] メニューを押し、"mmc" と入力して、コンソール証明書ストアを開きます。
- [ファイル] をクリックし、[スナップインの追加と削除] をクリックし、[証明書] をクリックします
- [追加] をクリックして証明書をスナップインに移動し、[
マイ ユーザー アカウント] を 1 つのアカウントに対して終了する] をクリックします。 コンピュータ上に複数のアカウントが存在する場合は GlobalProtect 、選択した「コンピュータアカウント」を使用します。
- OKこのステップを終了するには、押します
- 証明書は、コンソールのルートフォルダの下に表示されるようになりました。
- [証明書] の横にある左矢印をクリックして、ユーザーアカウントの証明書ストアをフォルダに表示します
- [信頼されたルート証明書] フォルダの横にある左矢印をクリックして、信頼されたルート証明書の証明書フォルダを表示します
- [信頼されたルート証明書] > [証明書] フォルダを右クリックし、[インポート]
- インポートウィザードが起動します。 [ 次へ] をクリックします。
- [参照] をクリックして、ルートを見つけます CA 。 ファイルを表示するには、ファイルの種類を変更する必要があります。
- ファイルを開き、ウィザードの最後にある [次へ] をクリックします。 これで、ルートは信頼されたルート証明書に表示されます。
- インポートウィザードが起動します。 [ 次へ] をクリックします。
- [個人] フォルダの下にある [証明書] フォルダを右クリックし、[インポート に関する注意書き >のすべてのタスク] をクリックして、[個人>証明書] フォルダに
クライアント証明書をインポートします。
- インポートウィザードを再度実行して、クライアント証明書を個人用フォルダにインポートします。
- Web ブロスウェルに移動し、ポータルに移動して、 GlobalProtect クライアント
プロンプトが表示されたら、使用するクライアント証明書を選択します。 これは、ポータル認証を成功させるために必要です。 証明書が選択されると、[ポータル] ページが読み込まれます。
注: 次の例は IE の場合ですが、Firefox と Chrome に同様のプロンプトが表示されます。
ポータルページで別の認証方法が設定されている場合、ユーザー名とパスワードのフィールドが表示されます。
認証プロファイルが none に設定されていて、ユーザーのクライアント証明書が有効である場合、ユーザーはポータルへのアクセスを許可され、再度認証する必要はありません。
注: T 証明書プロファイルにユーザ名が設定されている場合にのみ動作します。 GlobalProtect証明書プロファイルのみを認証として設定した場合、プロファイル内のユーザー名が「none」である場合、コミットは失敗します。
所有者: glasater