如何 GlobalProtect 用客户端证书认证和证书配置门户
240575
Created On 09/25/18 17:41 PM - Last Modified 09/23/21 17:34 PM
Symptom
本文档描述了使用 GlobalProtect 客户端证书进行认证时使用其他身份验证方法配置客户端证书配置文件的步骤。 本文档中应用的示例使用自签名证书完成,但也可以使用内部 CA 存储完成。 有关基本配置,请参阅以下文档 GlobalProtect : GlobalProtect 配置技术说明。
Resolution
1. 转到设备>证书
上面的截图显示了以下内容:
- 自签名证书"根 CA - ",将用于签署以下:
- 用于连接 GlobalProtect 门户和网关的服务器证书。
- 当您希望同时使用客户端证书进行身份验证时, 客户端证书用于在客户端上导入。
- 由 Root 签名的服务器证书 CA ,其主题名称与 IP 客户端将查询的 GlobalProtect 门户和网关连接的地址相匹配。
- 注意: FQDN 将用于通用名称,而不是 IP 在 FQDN 网关地址的配置中列出。 证书 CN 名称和客户端查询地址应相同。
- 客户证书还由 Root - CA 与共同名称客户端证书签名。
- 注意: 客户证名称在这里并不重要,只要它被导入主机正确,并由根签名 CA 。
- 自签名证书"根 CA - ",将用于签署以下:
2. 转到设备>证书配置文件
单击"添加"并在 CA 配置文件中添加"根"。 单击 OK 以保存。
3. 转到网络标签> GlobalProtect 门户
- 单击"门户配置"并将证书配置文件添加到 GlobalProtect "门户
说明": 您可以在配置中可选地拥有身份验证配置文件。 T只有当证书配置文件配置了用户名时,他的意志才会起作用。 如果 GlobalProtect 仅将证书配置文件配置为身份验证,其中配置文件中的用户名为"无",则提交将失败。
- 单击门户配置中的"客户端配置"选项卡,并确保在 CA "可信根"部分下列出"根"。
- 单击"门户配置"并将证书配置文件添加到 GlobalProtect "门户
4. 转到网络> GlobalProtect 网关
- 单击网关配置
- 将证书配置文件添加到网关
注释 :您可以选择在配置中具有身份验证配置文件。
5. 转到设备>证书
- 导出根- CA 无 PEM 密钥
- 将服务器证书导出为 PEM 无密钥
- 使用密钥将客户端证书导出为 PKCS12
6. 提交更改
在您的计算机:
注意: 如果使用第三方证书源,则不需要导入 CA Root,因为它应该已经值得信任。
- 按 "开始" 菜单并键入 "mmc" 打开控制台证书存储。
- 单击 "文件" 并单击 "添加/删除管理单元" 并单击 "证书"
- 单击"添加"可将证书移至管理名,然后单击"
我的用户帐户"用于一个帐户。 如果计算机上将有多个其他帐户将使用 GlobalProtect 选择的"计算机帐户"。
- 按 OK 下以完成此步骤
- 现在应该在控制台根文件夹下看到证书。
- 单击 "证书" 旁边的左箭头, 使文件夹显示用户帐户的证书存储区
- 单击 "受信任的根证书" 文件夹旁边的左箭头以查看受信任根证书的 "证书" 文件夹
- 右键单击受信任的根证书 > 证书文件夹, 然后单击导入
- 导入向导将启动。 单击下 一步。
- 单击"浏览"并查找"根 CA "。 您可能必须更改文件类型才能看到该文件。
- 打开该文件, 然后单击向导末尾的 "下一步"。 根现在将在受信任的根证书中看到。
- 导入向导将启动。 单击下 一步。
- 通过右键单击"个人> 证书"文件夹,然后单击"所有任务>导入说明:由于
客户端证书采用 PKCS12 格式,并且使用私钥,向导将请求导出时使用的密码,将客户端证书导入"个人> 证书"文件夹中。
- 再次遵循导入向导, 完成将客户端证书导入到个人文件夹中。
- 转到"网络兄弟",然后转到您的门户网站下载 GlobalProtect 客户
端提示时,选择应使用的客户证书。 这是门户身份验证成功所必需的。 选择证书后,将加载门户页面。
注意: 下面的例子是 IE ,但火狐浏览器和铬将有类似的提示
在门户页面上如果配置了其他身份验证方法, 您将看到用户名和密码字段
如果身份验证配置文件设置为 "无", 并且用户的客户端证书有效, 则允许用户访问该门户, 并且不需要再次进行身份验证。
注意: T 只有当证书配置文件配置了用户名时,他的意志才会起作用。 如果 GlobalProtect 仅将证书配置文件配置为身份验证,其中配置文件中的用户名为"无",则提交将失败。
所有者: glasater