Comment installer un certificat client pour global protect sur une machine Linux (Ubuntu)
53565
Created On 04/02/19 04:11 AM - Last Modified 09/04/23 17:54 PM
Objective
Client essayant d’installer un certificat de client sur une machine Linux.
Environment
- PAN-OS 7.1 et au-dessus
- Palo Alto Firewall .
- Tout client Linux pris en charge exécutant Global Protect 4.1.x ou 5.0.x.
Procedure
- Installez Global Protect Agent sur la machine Linux Référez ce lien.
- Téléchargez ou copiez le certificat sur la machine Linux à l’aide de Ftp ou Scp.
- Exécutez la commande suivante pour installer le certificat.
SA@ubuntu:$ globalprotect import-certificate --location /home/skhan/Desktop/cert_Win7-SOS.p12
Please input passcode:
Import certificate is successful.
Remarque: Dans la commande ci-dessus /home/skhan/Desktop est le chemin vers le certificat. Modifiez-le en fonction de votre environnement.
- Une fois le certificat importé, vérifiez que le certificat est installé dans globalprotect l’annuaire de /opt/paloaltonetworks/ globalprotect .Dans l’exemple ci-dessous, les pan_client_cert_passcode.dat et pan_client_cert.pfx sont installés.
skhan@ubuntu:/opt/paloaltonetworks/globalprotect$ ls -lah
total 12M
drwxr-xr-x 3 root root 4.0K Apr 1 17:13 .
drwxr-xr-x 3 root root 4.0K Sep 21 2018 ..
-rwxr-xr-x 1 speech-dispatcher uuidd 3.2M Mar 26 15:43 globalprotect
-rw-r--r-- 1 speech-dispatcher uuidd 1.1K Mar 26 15:43 gpd
-rw-r--r-- 1 speech-dispatcher uuidd 386 Mar 26 15:43 gpd.service
-rwxr-xr-x 1 speech-dispatcher uuidd 415 Mar 26 15:43 gpshow.sh
-rwxr-xr-x 1 speech-dispatcher uuidd 1.6K Mar 26 15:43 gp_support.sh
-rw-r--r-- 1 root root 864 Apr 1 17:13 HipPolicy.dat
-rw-r--r-- 1 root root 471 Apr 1 17:09 install.log
drwxr-xr-x 3 root root 4.0K Apr 1 17:13 network
-rw-r--r-- 1 root root 16 Apr 1 17:12 pan_client_cert_passcode.dat
-rw-r--r-- 1 root root 2.4K Apr 1 17:12 pan_client_cert.pfx
-rwxr-xr-x 1 speech-dispatcher uuidd 3.3M Mar 26 15:43 PanGPA
-rwxr-xr-x 1 speech-dispatcher uuidd 3.9M Mar 26 15:43 PanGPS
-rw-r--r-- 1 root root 924K Apr 1 21:03 PanGPS.log
-rw-r--r-- 1 speech-dispatcher uuidd 2.7K Apr 1 17:19 pangps.xml
-rwxr-xr-x 1 speech-dispatcher uuidd 181 Mar 26 15:43 PanMSInit.sh
-rwxr-xr-x 1 speech-dispatcher uuidd 118 Mar 26 15:43 pre_exec_gps.sh
-rw-r--r-- 1 root root 2.3K Apr 1 17:13 tca.cer
skhan@ubuntu:/opt/paloaltonetworks/globalprotect$
- Connectez-vous à l’aide du logon pré-logon ou de l’utilisateur avec le certificat client, les journaux suivants seront vus dans panGPS.log. Cela confirme que les certificats installés fonctionnent correctement.
P4022-T1047267072 Apr 01 21:08:48:990799 Debug( 160): Linux::GetHttpResponse serverIp=10.46.162.193
P4022-T1047267072 Apr 01 21:08:48:990907 Debug( 599): File /opt/paloaltonetworks/globalprotect/cc.pfx does not exist.
P4022-T1047267072 Apr 01 21:08:48:990913 Debug( 595): File /opt/paloaltonetworks/globalprotect/pan_client_cert.pfx exists.
P4022-T1047267072 Apr 01 21:08:48:990917 Debug( 595): File /opt/paloaltonetworks/globalprotect/pan_client_cert_passcode.dat exists.
P4022-T1047267072 Apr 01 21:08:48:994539 Debug(1174): not before=190326234539Z, not after=200325234539Z
P4022-T1047267072 Apr 01 21:08:48:994558 Debug(1181): cTime=190402040848
P4022-T1047267072 Apr 01 21:08:48:994561 Debug(1187): pkcs12 cert expired = 0
P4022-T1047267072 Apr 01 21:08:48:997781 Debug( 259): certIssuer=/CN=SOS-CA
P4022-T1047267072 Apr 01 21:08:48:997789 Debug( 769): SSL connecting to 10.46.162.193