GlobalProtect 双因素认证与客户端证书的窗口

门户具有192.168.16.18 的 IP 地址

以下是配置双因素身份验证所必须执行的附加步骤。客户端将提供密码和证书以通过门户和/或网关对自己进行身份验证。在此示例中, 防火墙用于创建根 CA 证书、客户端证书。

1) 在防火墙上创建根 CA 证书

2。在 PA 上创建一个证书用于 GP

3。使用企业 PKI 或公共 CA 向每个 GlobalProtect 用户颁发唯一的客户端证书。证书的 CN 必须与您为 GP 使用的 FQDN 或 IP 匹配。客户端必须提供唯一的客户端证书, 以标识最终用户, 以便连接到 GlobalProtect。所有客户端都可以使用共享相同的证书, 也可以拥有自己的单独证书。

3。为客户端身份验证创建证书配置文件并调用根 CA。

如果证书配置文件未指定用户名字段 (即用户名字段设置为 "无"), 则客户端证书不需要有用户名。在这种情况下, 客户端必须在对身份验证配置文件进行身份验证时提供用户名。

如果证书配置文件指定用户名字段, 则客户端呈现的证书必须包含相应字段中的用户名。例如, 如果证书配置文件指定 "用户名" 字段为 "主题", 则客户端提供的证书必须包含公用名称字段中的值, 否则身份验证将失败。此外, 当用户尝试输入凭据时, 如果需要用户名字段, 则证书的 "用户名" 字段中的值将自动填充为用户名。

4。在门户和网关配置下调用该证书配置文件

5。在客户端计算机上安装证书。如果未安装证书, 则会看到以下错误信息: