GlobalProtect Dual-Factor-Authentifizierung mit Client-Zertifikat für Windows

GlobalProtect Dual-Factor-Authentifizierung mit Client-Zertifikat für Windows

19144
Created On 09/25/18 19:43 PM - Last Modified 02/07/19 23:59 PM


Resolution


Das Portal hat IP-Adresse von 192.168.16.18

Topology.png

Im folgenden finden Sie den zusätzlichen Schritt, der zur Konfiguration der DUAL-Factor-Authentifizierung getan werden muss. Der Kunde wird ein Passwort und ein Zertifikat zur Verfügung stellen, um sich mit Portal und/oder Gateway zu authentifizieren. In diesem Beispiel wird Firewall verwendet, um Root CA Zertifikat, Client-Zertifikat zu erstellen.

 

1) erstellen Sie ein Root-CA-Zertifikat auf Firewall

 

Root. png

2. Erstellen Sie ein Zertifikat auf PA One für GP

GP. png

 

3. Verwenden Sie Ihr Unternehmen PKI oder eine öffentliche CA, um jedem GlobalProtect-Nutzer ein einzigartiges kundenzertifikat auszustellen. Der CN des Zertifikats muss mit dem FQDN oder IP übereinstimmen, das Sie für GP verwenden. Der Kunde muss ein einzigartiges kundenzertifikat vorlegen, das den Endbenutzer identifiziert, um sich mit GlobalProtect zu verbinden. Alle Kunden können das gleiche Zertifikat verwenden oder ein eigenes individuelles Zertifikat besitzen.

 

Client. png

 

 

3. Erstellen Sie ein Zertifizierungs Profil für die Authentifizierung des Clients und rufen Sie die Root CA.

 

Wenn das Zertifikats Profil kein Benutzername-Feld angibt (das heißt, das Benutzername-Feld, auf das es gesetzt ist), muss das Client-Zertifikat keinen Benutzernamen haben. In diesem Fall muss der Kunde den Benutzernamen angeben, wenn er sich gegen das Authentifizierungs Profil authentifiziert.

 

Wenn das Zertifikats Profil ein Benutzernamen-Feld angibt, muss das Zertifikat, das der Client vorlegt, einen Benutzernamen im entsprechenden Feld enthalten. Wenn zum Beispiel das Zertifikats Profil festlegt, dass das Benutzername-Feld Subjekt ist, muss das vom Kunden vorgestellte Zertifikat einen Wert im Bereich des gemeinsamen Namens enthalten oder die Authentifizierung wird fehlschlagen. Wenn das Benutzername-Feld benötigt wird, wird der Wert aus dem Benutzernamen-Feld des Zertifikats automatisch als Benutzername bevölkert, wenn der Benutzer versucht, Berechtigungen einzugeben.

 

Zertifikats Profil. png

4. Rufen Sie das Zertifikats Profil unter Portal-und Gateway-Konfiguration an

 

Portal. png

Gateway. png

 

5. Installieren Sie das Zertifikat auf dem Client-Rechner. Wenn das Zertifikat nicht installiert ist, wird folgende Fehlermeldung angezeigt:

 

Ungültiges Zertifikat. png
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClcBCAS&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language