如何使用带有 SSL GlobalProtect 门户/网关主题替代名称的通配符证书
90741
Created On 09/25/18 19:47 PM - Last Modified 04/19/21 16:42 PM
Environment
- 帕洛阿尔托网络 Firewall (物理或虚拟)
Resolution
本文档描述了如何使用通配符(多域)证书与一个通用名称和主题替代名称 SAN ()为其他受保护域。 DNS GlobalProtect 门户和每个 GlobalProtect 网关的名称被假定为SN。
- CA通过导航到设备>证书管理>证书并选择添加,创建根证书
注意:确保选择"证书管理局"旁边的复选框以确认 CA 其证书
- 通过指定正确的参数创建新叶证书,确保它由上述生成的 CA 根证书签名,并选择 生成。 这将是 GlobalProtect 用于门户和网关的通配符证书。 例如:
名称: GP- 证书
通用名称:**.example.com
主题替代名称: DNS 名称=vpn1.示例.com名称 DNS =vpn2.示例.com
注意:如果 GlobalProtect 门户和网关共享相同的 IP 地址(即 Palo Alto 网络 firewall 界面被配置为门户和网关),则共享地址可以使用单个主机名 IP 。 对于此示例,将门户网站和网关主机名: vpn2.example.com。
- (可选)如有必要,您可以 GlobalProtect firewall GlobalProtect 通过导航到设备>证书管理>证书>选择导入,在门户证书缓存和每个网关防火墙(在多网关设置中)导入证书
- 将服务器证书应用到适当的 SSL / TLS 服务配置文件,通过导航到 设备>证书管理 SSL >/ TLS 服务配置文件> 并选择适当的配置文件。 然后从下拉菜单中选择新创建的服务器证书,如下所示,然后选择 OK :
- 提交您的更改并确认您能够成功连接
Additional Information
- 有关单网关和多网关部署的其他资源,请导航到以下文档:GlobalProtect 配置和故障排除的资源列表
- 有关 GlobalProtect 证书最佳实践,请参阅以下文档: GlobalProtect 证书最佳实践