Das Portal hat IP-Adresse von 192.168.16.18
Im folgenden finden Sie den zusätzlichen Schritt, der zur Konfiguration der DUAL-Factor-Authentifizierung getan werden muss. Der Kunde wird ein Passwort und ein Zertifikat zur Verfügung stellen, um sich mit Portal und/oder Gateway zu authentifizieren. In diesem Beispiel wird Firewall verwendet, um Root CA Zertifikat, Client-Zertifikat zu erstellen.
1) erstellen Sie ein Root-CA-Zertifikat auf Firewall
2. Erstellen Sie ein Zertifikat auf PA One für GP
3. Verwenden Sie Ihr Unternehmen PKI oder eine öffentliche CA, um jedem GlobalProtect-Nutzer ein einzigartiges kundenzertifikat auszustellen. Der CN des Zertifikats muss mit dem FQDN oder IP übereinstimmen, das Sie für GP verwenden. Der Kunde muss ein einzigartiges kundenzertifikat vorlegen, das den Endbenutzer identifiziert, um sich mit GlobalProtect zu verbinden. Alle Kunden können das gleiche Zertifikat verwenden oder ein eigenes individuelles Zertifikat besitzen.
3. Erstellen Sie ein Zertifizierungs Profil für die Authentifizierung des Clients und rufen Sie die Root CA.
Wenn das Zertifikats Profil kein Benutzername-Feld angibt (das heißt, das Benutzername-Feld, auf das es gesetzt ist), muss das Client-Zertifikat keinen Benutzernamen haben. In diesem Fall muss der Kunde den Benutzernamen angeben, wenn er sich gegen das Authentifizierungs Profil authentifiziert.
Wenn das Zertifikats Profil ein Benutzernamen-Feld angibt, muss das Zertifikat, das der Client vorlegt, einen Benutzernamen im entsprechenden Feld enthalten. Wenn zum Beispiel das Zertifikats Profil festlegt, dass das Benutzername-Feld Subjekt ist, muss das vom Kunden vorgestellte Zertifikat einen Wert im Bereich des gemeinsamen Namens enthalten oder die Authentifizierung wird fehlschlagen. Wenn das Benutzername-Feld benötigt wird, wird der Wert aus dem Benutzernamen-Feld des Zertifikats automatisch als Benutzername bevölkert, wenn der Benutzer versucht, Berechtigungen einzugeben.
4. Rufen Sie das Zertifikats Profil unter Portal-und Gateway-Konfiguration an
5. Installieren Sie das Zertifikat auf dem Client-Rechner. Wenn das Zertifikat nicht installiert ist, wird folgende Fehlermeldung angezeigt: