So konfigurieren GlobalProtect App Sie 5.0 unter Apple iOS 12 für die Verwendung des Clientzertifikats für die Authentifizierung.
Objective
Konfigurieren Sie GlobalProtect App 5.0 unter Apple iOS 12 für die Verwendung des Clientzertifikats für die Authentifizierung.
Environment
- GlobalProtect VPN Client 5.0 unter Apple iOS.
- iPhone mit iOS Version 12 wurde im Dokument verwendet.
- Das Verfahren gilt auch für die vorgängerversionen von iOS.
- Apple Configurator 2 wurde in diesem Dokument verwendet, um das Clientzertifikat auf dem iPhone bereitzustellen.
Procedure
Client/Server-Zertifikatsanforderungen:
Es gibt Mindestzertifikatanforderungen für Client Cert Auth, um mit GP Client 5.0 auf Apple iPhone/iPad zu funktionieren.
Der Einfachheit halber wird das firewallZertifikat von in diesem Dokument als "Serverzertifikat" bezeichnet.
Hinweis: Die gleichen Zertifikatanforderungen gelten für alle Implementierungen, bei GlobalProtect denen die Clientzertifikatauthentifizierung erforderlich ist.
Clientzertifikat:
Das ausgestellte Clientzertifikat sollte die erweiterte Schlüsselverwendung "clientAuth" haben.
Serverzertifikat :
Das Serverzertifikat benötigt die erweiterte Schlüsselverwendung "Serverauthentifizierung ( 1.3.6.1.5.5.7.3.1 )"Das URL für die Gateway-Verbindung verwendete Feld sollte als SAN Feld auf dem Serverzertifikat vorhanden sein.
konfiguration:
1. Sobald die Zertifikate mit allen oben genannten Anforderungen abgerufen sind, installieren Sie das Serverzertifikat auf der firewall .
Hinweis: In diesem Fall wird derselbe CA Server verwendet, um den Client und das Serverzertifikat auszustellen.
Wenn es sich um zwei verschiedene CA Server handelt, installieren Sie beide CA Serverzertifikate auf der PA firewall und markieren Sie sie als "Vertrauenswürdiges CA Stammzertifikat".
2. Installieren Sie dann das Serverzertifikat, das von diesem für das Portal und Gateway ausgestellt CA wurde.
3. Konfigurieren Sie ein SSL / TLS Profil für Serverzertifikat.
4. Zeigen Sie auf die Portal- und Gateway-Konfiguration, um dieses SSL TLS /Dienstprofil zu verwenden.
5. Erstellen Sie ein Zertifikatsprofil für die Clientzertifikatauthentifizierung.
Konfigurieren Sie dieses Zertifikatprofil unter Authentifizierungsabschnitt der Portal- und Gatewaykonfiguration.
Clientzertifikatbereitstellung auf iPhone/iPad
1. Installieren Sie "Apple configurator 2" auf dem MAC und erstellen Sie ein neues Profil.Datei > neues Profil
Fügen Sie das CA Stammzertifikat und das Identitätszertifikat des Clients zum neuen Profil unter Abschnitt "Zertifikate" hinzu.
- Stellen Sie sicher, dass auch alle Zwischenzertifikate des Serverzertifikats hinzugefügt werden.
- Fügen Sie die Passphrase für das Clientzertifikat hinzu, damit das Zertifikat zusammen mit dem Schlüssel installiert werden kann.
- Das Clientzertifikat muss das Format ".p12" haben.
2. Wählen Sie unter " VPN " "Custom " SSL als Verbindungstyp und Benutzerauthentifizierung als "Zertifikat" aus.
3. Wählen Sie unter Anmeldeinformationen das Client-Zertifikat aus, das in der Dropdown-Liste verwendet werden soll.
Füllen Sie die restlichen erforderlichen Felder aus.
Speichern Sie dieses Profil und drücken Sie es mit dem Symbol Hinzufügen auf dem Konfigurator auf das iPhone/iPad
4. Das Profil kann auf dem iPhone/iPad angezeigt werden, indem Sie zu Einstellungen > Allgemeines > Profil gehen.
Sobald das Profil auf dem Telefon installiert ist, muss das CA Stammzertifikat des Servers explizit als vertrauenswürdig eingestuft werden.
Um dies am Telefon zu tun, gehen Sie zu Einstellungen > Allgemeine > Informationen zu > Zertifikatvertrauenseinstellungen.
Aktivieren Sie die Option " ENABLE FULL TRUST DOR ROOT CERTIFICATES für alle relevanten Stamm- und CA CA Zwischenzertifikate.
Der obige Prozess wird in diesem Link erklärt.
https://support.apple.com/en-us/HT204477
Initiieren Sie die Verbindung zum Portal vom Client 5.0 auf dem GlobalProtect iPhone und es sollte erfolgreich sein.
Additional Information
Die vollständige GlobalProtect Konfiguration von Portal und Gateway finden Sie unter dem folgenden Link.
BASIC GLOBALPROTECT CONFIGURATION WITH USER-LOGON
Apple Configurator 2:
Änderungen an der iOS-Authentifizierung
So installieren Sie das Clientzertifikat in iOS 12.x mit Apple Configurator 2