Le portail a l'adresse IP de 192.168.16.18
Voici l'étape supplémentaire qui doit être effectuée pour configurer l'authentification à double facteur. Le client fournira le mot de passe et le certificat pour s'authentifier avec le portail et/ou la passerelle. Dans cet exemple, le pare-feu est utilisé pour créer un certificat d'AUTORITÉ de certification racine, un certificat client.
1) créer un certificat d'AUTORITÉ de certification racine sur le pare-feu
2. Créer un certificat sur PA One pour GP
3. Utilisez votre PKI d'entreprise ou une autorité de certification publique pour émettre un certificat client unique à chaque utilisateur GlobalProtect. Le CN du certificat doit correspondre au FQDN ou à l'ADRESSE IP que vous utilisez pour GP. Le client doit présenter un certificat client unique qui identifie l'utilisateur final afin de se connecter à GlobalProtect. Tous les clients peuvent utiliser le même certificat de partage ou peuvent avoir leur propre certificat individuel.
3. Créez un profil de certification pour l'authentification du client et appelez la racine CA.
Si le profil de certificat ne spécifie pas de champ Username (c'est-à-dire que le champ username est défini sur None), le certificat client n'a pas besoin d'avoir de nom d'utilisateur. Dans ce cas, le client doit fournir le nom d'utilisateur lors de l'authentification par rapport au profil d'Authentification.
Si le profil de certificat spécifie un champ username, le certificat que le client présente doit contenir un nom d'utilisateur dans le champ correspondant. Par exemple, si le profil de certificat spécifie que le champ username est Subject, le certificat présenté par le client doit contenir une valeur dans le champ nom commun ou l'authentification échoue. En outre, lorsque le champ username est requis, la valeur du champ Username du certificat sera automatiquement remplie comme nom d'utilisateur lorsque l'utilisateur tentera d'entrer des informations d'identification
4. Appeler ce profil de certificat sous Configuration portail et passerelle
5. Installez le certificat sur l'ordinateur client. Si le certificat n'est pas installé après le message d'erreur sera vu: