Autenticación de doble factor GlobalProtect con certificado de cliente para Windows

Autenticación de doble factor GlobalProtect con certificado de cliente para Windows

19146
Created On 09/25/18 19:43 PM - Last Modified 02/07/19 23:59 PM


Resolution


El portal tiene dirección IP de 192.168.16.18

Topology.png

A continuación se ofrece el paso adicional que se debe hacer para configurar la autenticación de doble factor. El cliente le proporcionará la contraseña y el certificado para autenticarse con portal y/o Gateway. En este ejemplo, Firewall se utiliza para crear un certificado de CA raíz, certificado de cliente.

 

1) crear un certificado de CA raíz en firewall

 

Root. png

2. Crear un certificado en PA uno para GP

GP. png

 

3. Utilice su PKI empresarial o una CA pública para emitir un certificado de cliente único a cada usuario de GlobalProtect. El CN del certificado debe coincidir con el FQDN o la IP que está utilizando para GP. El cliente debe presentar un certificado de cliente único que identifique al usuario final con el fin de conectarse a GlobalProtect. Todo el cliente puede utilizar el mismo certificado de la parte o puede tener su propio certificado individual.

 

Client. png

 

 

3. Cree un perfil de certificación para la autenticación del cliente y llame a la CA raíz.

 

Si el perfil de certificado no especifica un campo de nombre de usuario (es decir, el campo username se establece en None), el certificado de cliente no necesita tener un nombre de usuario. En este caso, el cliente debe proporcionar el nombre de usuario cuando se autentica contra el perfil de autenticación.

 

Si el perfil de certificado especifica un campo de nombre de usuario, el certificado que presenta el cliente debe contener un nombre de usuario en el campo correspondiente. Por ejemplo, si el perfil de certificado especifica que el campo username está sujeto, el certificado presentado por el cliente debe contener un valor en el campo Common-Name o la autenticación fallará. Además, cuando se requiera el campo username, el valor del campo username del certificado se rellenará automáticamente como nombre de usuario cuando el usuario intente introducir las credenciales

 

Certificado Profile. png

4. Llamar a ese perfil de certificado bajo configuración de portal y Gateway

 

Portal. png

Gateway. png

 

5. Instale el certificado en el equipo cliente. Si el certificado no está instalado, se verá el siguiente mensaje de error:

 

Certificado no válido. png
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClcBCAS&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language