Cómo instalar un certificado de cliente para Global Protect en una máquina Linux (Ubuntu)
53557
Created On 04/02/19 04:11 AM - Last Modified 09/04/23 17:54 PM
Objective
Cliente que intenta instalar un certificado de cliente en una máquina Linux.
Environment
- PAN-OS 7.1 y superior
- Palo Alto Firewall .
- Cualquier cliente Linux compatible que ejecute Global Protect 4.1.x o 5.0.x.
Procedure
- Instale Global Protect Agent en la máquina Linux Consulte este vínculo.
- Descargue o copie el certificado en la máquina Linux mediante Ftp o Scp.
- Ejecute el siguiente comando para instalar el certificado.
SA@ubuntu:$ globalprotect import-certificate --location /home/skhan/Desktop/cert_Win7-SOS.p12
Please input passcode:
Import certificate is successful.
Nota:En el comando anterior /home/skhan/Desktop se encuentra la ruta de acceso al certificado. Modifíquelo para adaptarse a su entorno.
- Una vez importado el certificado, compruebe que el certificado está instalado en el globalprotect directorio de /opt/paloaltonetworks/ globalprotect .En el ejemplo siguiente, se instalan los certificados pan_client_cert_passcode.dat y pan_client_cert.pfx.
skhan@ubuntu:/opt/paloaltonetworks/globalprotect$ ls -lah
total 12M
drwxr-xr-x 3 root root 4.0K Apr 1 17:13 .
drwxr-xr-x 3 root root 4.0K Sep 21 2018 ..
-rwxr-xr-x 1 speech-dispatcher uuidd 3.2M Mar 26 15:43 globalprotect
-rw-r--r-- 1 speech-dispatcher uuidd 1.1K Mar 26 15:43 gpd
-rw-r--r-- 1 speech-dispatcher uuidd 386 Mar 26 15:43 gpd.service
-rwxr-xr-x 1 speech-dispatcher uuidd 415 Mar 26 15:43 gpshow.sh
-rwxr-xr-x 1 speech-dispatcher uuidd 1.6K Mar 26 15:43 gp_support.sh
-rw-r--r-- 1 root root 864 Apr 1 17:13 HipPolicy.dat
-rw-r--r-- 1 root root 471 Apr 1 17:09 install.log
drwxr-xr-x 3 root root 4.0K Apr 1 17:13 network
-rw-r--r-- 1 root root 16 Apr 1 17:12 pan_client_cert_passcode.dat
-rw-r--r-- 1 root root 2.4K Apr 1 17:12 pan_client_cert.pfx
-rwxr-xr-x 1 speech-dispatcher uuidd 3.3M Mar 26 15:43 PanGPA
-rwxr-xr-x 1 speech-dispatcher uuidd 3.9M Mar 26 15:43 PanGPS
-rw-r--r-- 1 root root 924K Apr 1 21:03 PanGPS.log
-rw-r--r-- 1 speech-dispatcher uuidd 2.7K Apr 1 17:19 pangps.xml
-rwxr-xr-x 1 speech-dispatcher uuidd 181 Mar 26 15:43 PanMSInit.sh
-rwxr-xr-x 1 speech-dispatcher uuidd 118 Mar 26 15:43 pre_exec_gps.sh
-rw-r--r-- 1 root root 2.3K Apr 1 17:13 tca.cer
skhan@ubuntu:/opt/paloaltonetworks/globalprotect$
- Conéctese mediante el inicio de sesión previo o el inicio de sesión del usuario con el certificado de cliente, los siguientes registros se verán en PanGPS.log. Esto confirma que los certificados instalados funcionan correctamente.
P4022-T1047267072 Apr 01 21:08:48:990799 Debug( 160): Linux::GetHttpResponse serverIp=10.46.162.193
P4022-T1047267072 Apr 01 21:08:48:990907 Debug( 599): File /opt/paloaltonetworks/globalprotect/cc.pfx does not exist.
P4022-T1047267072 Apr 01 21:08:48:990913 Debug( 595): File /opt/paloaltonetworks/globalprotect/pan_client_cert.pfx exists.
P4022-T1047267072 Apr 01 21:08:48:990917 Debug( 595): File /opt/paloaltonetworks/globalprotect/pan_client_cert_passcode.dat exists.
P4022-T1047267072 Apr 01 21:08:48:994539 Debug(1174): not before=190326234539Z, not after=200325234539Z
P4022-T1047267072 Apr 01 21:08:48:994558 Debug(1181): cTime=190402040848
P4022-T1047267072 Apr 01 21:08:48:994561 Debug(1187): pkcs12 cert expired = 0
P4022-T1047267072 Apr 01 21:08:48:997781 Debug( 259): certIssuer=/CN=SOS-CA
P4022-T1047267072 Apr 01 21:08:48:997789 Debug( 769): SSL connecting to 10.46.162.193