GlobalProtect Windows 用クライアント証明書を使用したデュアルファクタ認証

ポータルに192.168.16.18 の IP アドレスがあります。

次に、デュアルファクタ認証を構成するために実行する追加の手順を示します。クライアントは、ポータルおよび/またはゲートウェイで自分自身を認証するためのパスワードと証明書を提供します。この例では、ファイアウォールを使用してルート CA 証明書、クライアント証明書を作成します。

1) ファイアウォールでルート CA 証明書を作成する

2。GP 用の PA 1 に1つの証明書を作成する

3。エンタープライズ PKI またはパブリック CA を使用して、各 GlobalProtect ユーザーに一意のクライアント証明書を発行します。証明書の CN は、GP に使用している FQDN または IP と一致している必要があります。クライアントは、GlobalProtect に接続するためにエンドユーザーを識別する一意のクライアント証明書を提示する必要があります。すべてのクライアントは、共有同じ証明書を使用することも、個別の証明書を持つこともできます。

3。クライアント認証用の証明書プロファイルを作成し、ルート CA を呼び出します。

証明書プロファイルがユーザー名フィールドを指定していない場合 (つまり、ユーザー名フィールドが None に設定されている場合)、クライアント証明書はユーザー名を持つ必要はありません。この場合、クライアントは認証プロファイルに対してユーザー名を指定する必要があります。

証明書プロファイルでユーザー名フィールドが指定されている場合、クライアントが提示する証明書には、対応するフィールドにユーザー名が含まれている必要があります。たとえば、証明書プロファイルで username フィールドがサブジェクトであることが指定されている場合、クライアントによって提示された証明書には、[共通名] フィールドに値が含まれているか、認証が失敗します。さらに、ユーザ名フィールドが必要な場合、ユーザーが資格情報を入力しようとすると、証明書のユーザ名フィールドの値がユーザ名として自動的に設定されます。

4. ポータルとゲートウェイの構成でその証明書プロファイルを呼び出す

5。クライアントコンピュータに証明書をインストールします。証明書がインストールされていない場合は、次のエラーメッセージが表示されます。