Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
GlobalProtectクライアント証明書認証と証明書プロファイルを使用してポータルを構成する方法 - Knowledge Base - Palo Alto Networks

GlobalProtectクライアント証明書認証と証明書プロファイルを使用してポータルを構成する方法

271470
Created On 09/25/18 17:41 PM - Last Modified 09/23/21 17:34 PM


Symptom


このドキュメントでは、 GlobalProtect クライアント証明書を使用して他の認証方法を使用するか、または他の認証方法を使用しない場合に、クライアント証明書プロファイルを使用して構成する手順について説明します。 このドキュメントで適用される例は自己署名証明書で行われますが、内部ストアでも実行できます CA 。 基本設定については、次のドキュメント GlobalProtect を参照してください: GlobalProtect設定の注意事項



Resolution


 

1. デバイス >証明書に移動する

ユーザー追加イメージ

上記のスクリーンショットは、以下を示します:

    • 自己署名証明書 "Root-" CA は、次の署名に使用されます。
      • ポータルおよびゲートウェイへの接続に使用されるサーバー証明書 GlobalProtect 。
      • 認証にクライアント証明書を使用する場合にクライアント証明書をインポートするために使用される、または単独で。
    • Root によって署名されたサーバー証明書で、 CA IP クライアントが GlobalProtect ポータルおよびゲートウェイ接続の照会を行うアドレスと一致するサブジェクト名。
      • 注: FQDN は IP 、ゲートウェイ アドレスの構成にリストされている場合ではなく、共通名に使用されます FQDN 。 CNクライアントクエリの証明書名とアドレスは同じである必要があります。
    • クライアント証明書も CA 、共通名クライアント証明書を使用して Root- によって署名されています。
      • 注: クライアント証明書名がホスト マシンに正しくインポートされ、Root- によって署名されている限り、この名前は問題ではありません CA 。

 

2. デバイス>証明書プロファイルに移動

[追加] をクリックし、プロファイルに Root- CA を追加します。 クリック OK して保存します。

ユーザー追加イメージ

 

3. ポータルの [ネットワーク] タブ>移動 GlobalProtect します。

    1. ポータル構成をクリックし、ポータルノートに証明書プロファイルを GlobalProtect 追加
      します : オプションで、構成に認証プロファイルを持つことができます。 T証明書プロファイルにユーザ名が設定されている場合にのみ機能します。 GlobalProtect証明書プロファイルのみを認証として設定した場合、プロファイル内のユーザー名が「none」である場合、コミットは失敗します。
      ユーザー追加イメージ
    2. ポータルの設定で[クライアントの設定]タブをクリックし、[ CA 信頼されたルート]セクションの下にルートが表示されていることを確認します。
      ユーザー追加イメージ

4. ネットワーク > ゲートウェイに移動 GlobalProtect する

  1. ゲートウェイの構成をクリックします。
  2. ゲートウェイノートに証明書プロファイルを追加
    する: オプションで、設定に認証プロファイルを持つことができます。
    ユーザー追加イメージ

5. デバイス>証明書に移動

    • ルートをキー CA なしでエクスポート PEM する
    • キーなしとしてサーバー証明書 PEM をエクスポート
    • クライアント証明書をキーで PKCS12 としてエクスポートする

6. 変更を確定する

 

コンピュータの場合:

注: サードパーティの証明書ソースを使用している場合、ルートのインポート CA は既に信頼されている必要がありますので、必要ありません。

  1. [スタート] メニューを押し、"mmc" と入力して、コンソール証明書ストアを開きます。
    mmc コンソール。PNG
  2. [ファイル] をクリックし、[スナップインの追加と削除] をクリックし、[証明書] をクリックします
    証明書にスナップします。PNG
  3. [追加] をクリックして証明書をスナップインに移動し、[
    マイ ユーザー アカウント] を 1 つのアカウントに対して終了する] をクリックします。 コンピュータ上に複数のアカウントが存在する場合は GlobalProtect 、選択した「コンピュータアカウント」を使用します。
    ユーザーでスナップします。PNG
  4. OKこのステップを終了するには、押します
    終了でスナップします。PNG
    • 証明書は、コンソールのルートフォルダの下に表示されるようになりました。
  5. [証明書] の横にある左矢印をクリックして、ユーザーアカウントの証明書ストアをフォルダに表示します
    証明書の仕上げでスナップします。PNG
  6. [信頼されたルート証明書] フォルダの横にある左矢印をクリックして、信頼されたルート証明書の証明書フォルダを表示します
    信頼されたルート。PNG
  7. [信頼されたルート証明書] > [証明書] フォルダを右クリックし、[インポート]
    1. インポートウィザードが起動します。 [ 次へ] をクリックします。
      インポート ウィザード。PNG
    2. [参照] をクリックして、ルートを見つけます CA 。 ファイルを表示するには、ファイルの種類を変更する必要があります。
      検索を参照します。PNG
    3. ファイルを開き、ウィザードの最後にある [次へ] をクリックします。 これで、ルートは信頼されたルート証明書に表示されます。
      スターのルート。PNG
  8. [個人] フォルダの下にある [証明書] フォルダを右クリックし、[インポート に関する注意書き >のすべてのタスク] をクリックして、[個人>証明書] フォルダに
    クライアント証明書をインポートします   
    個人用フォルダー。PNG
    PKCS12 パスワード。PNG
  9. インポートウィザードを再度実行して、クライアント証明書を個人用フォルダにインポートします。
    クライアント証明書ストア。PNG
  10. Web ブロスウェルに移動し、ポータルに移動して、 GlobalProtect クライアント
    プロンプトが表示されたら、使用するクライアント証明書を選択します。 これは、ポータル認証を成功させるために必要です。 証明書が選択されると、[ポータル] ページが読み込まれます。
    注: 次の例は IE の場合ですが、Firefox と Chrome に同様のプロンプトが表示されます。
    クライアント証明書の選択。PNG

 

ポータルページで別の認証方法が設定されている場合、ユーザー名とパスワードのフィールドが表示されます。
7. png

認証プロファイルが none に設定されていて、ユーザーのクライアント証明書が有効である場合、ユーザーはポータルへのアクセスを許可され、再度認証する必要はありません。

: T 証明書プロファイルにユーザ名が設定されている場合にのみ動作します。 GlobalProtect証明書プロファイルのみを認証として設定した場合、プロファイル内のユーザー名が「none」である場合、コミットは失敗します。

8. png

 

所有者: glasater



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClIICA0&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language