SSLポータル/ゲートウェイのサブジェクト代替名でワイルドカード証明書を使用する方法 GlobalProtect
105618
Created On 09/25/18 19:47 PM - Last Modified 04/19/21 16:42 PM
Environment
- パロアルトネットワーク Firewall ス(物理または仮想)
Resolution
このドキュメントでは、他の保護されたドメインに対して、1 つの共通名とサブジェクトの別名 ( ) を使用してワイルドカード (マルチドメイン) 証明書を使用する方法について説明 SAN します。 DNS GlobalProtect ポータルと各ゲートウェイの名前 GlobalProtect は、SAN としてリストされていると見なされます。
- CA [デバイス>証明書の管理] >証明書] に移動し、[追加] を選択してルート証明書を作成します。
注: [証明機関] の横にあるチェックボックスが選択されていることを確認して、証明書であることを確認します。 CA
![[証明書の生成] ダイアログ ボックスが [証明機関] チェック ボックスがオンになっている状態で表示されるスナップショット](/servlet/rtaImage?eid=ka14u000000wklI&feoid=00N0g000003VPSv&refid=0EM4u000003Kp0X)
- 適切なパラメータを指定して新しいリーフ証明書を作成し、生成されたルート証明書で署名されていることを確認 CA して、[ 生成] を選択します。 これは、ポータルとゲートウェイに使用されるワイルドカード証明書になります GlobalProtect 。 例:
名前: GP- 証明書
共通名: *.example.com
サブジェクト別名: DNS 名前=vpn1.example.com, DNS 名前=vpn2.例.com
注: GlobalProtect ポータルとゲートウェイが同じアドレスを共有する場合 IP (パロアルトネットワーク firewall スインターフェイスがポータルとゲートウェイの両方として設定されている場合)、共有アドレスには単一のホスト名を使用できます IP 。 この例では、ポータルおよびゲートウェイのホスト名になる: vpn2.example.com。
- (オプション)必要に応じて、ポータルの証明書キャッシュと GlobalProtect firewall GlobalProtect 各ゲートウェイ ファイアウォール (マルチゲートウェイ セットアップ) の証明書をインポートするには、[デバイス >証明書の管理>証明書>に移動し、[インポート] を選択します。
- SSL TLS デバイス >証明書管理>/ サービス プロファイル >に移動し、適切なプロファイルを選択して、適切な/ SSL サービス TLS プロファイルにサーバー証明書を適用します。 次に、以下に示すように、ドロップダウンメニューから新しく作成されたサーバー証明書を選択し、 OK を選択します。
- 変更を確定し、正常に接続できることを確認する
Additional Information
- シングル ゲートウェイとマルチゲートウェイの両方の展開に関するその他のリソースについては、次のドキュメントに移動してください:GlobalProtect 構成とトラブルシューティングのリソース一覧
- GlobalProtect証明書のベスト プラクティスについては、次のドキュメントを参照してください:GlobalProtect証明書のベスト プラクティス