Cómo configurar GlobalProtect App 5.0 en Apple iOS 12 para usar el certificado de cliente para la autenticación.
Objective
Configure GlobalProtect App 5.0 en Apple iOS 12 para usar el certificado de cliente para la autenticación.
Environment
- GlobalProtect VPN cliente 5.0 en Apple iOS.
- El iPhone con iOS Versión 12 se ha utilizado en el documento.
- El procedimiento también se aplica a las versiones anteriores de iOS.
- Apple Configurator 2 se ha utilizado en este documento para implementar el certificado de cliente en el iPhone.
Procedure
Requisitos del certificado cliente/servidor:
Existen requisitos mínimos de certificación para que Client Cert Auth funcione con GP el cliente 5.0 en Apple iPhone/iPad.
Para simplificar, el firewallcertificado de 's se llamará "Certificado de servidor" en este documento.
Nota: Los mismos requisitos de certificado se aplican a todas las implementaciones en GlobalProtect las que se necesita la autenticación de certificados de cliente.
Certificado de cliente:
El certificado de cliente emitido debe tener el uso de clave extendida "clientAuth"
Certificado de servidor :
El certificado de servidor necesitará el uso extendido de clave "Autenticación de servidor ( 1.3.6.1.5.5.7.3.1 )"El URL utilizado para la conexión de puerta de enlace debe estar presente como SAN campo en el certificado de servidor.
Configuración:
1. Una vez obtenidos los certificados con todos los requisitos anteriores, instale el certificado de servidor en el firewall archivo .
Nota: En este caso, el mismo CA servidor se utiliza para emitir el cliente y el certificado del servidor.
Si son dos CA servidores diferentes, instale los certificados de CA servidor en el y PA firewall márquelos como "Certificado raíz de CA confianza".
2. A continuación, instale el certificado de servidor que se emitió para el portal y la puerta de enlace mediante este CA .
3. Configure un SSL / perfil para el certificado del TLS servidor.
4. Apunte la configuración del portal y de la puerta de enlace para utilizar este SSL / TLS perfil de servicio.
5. Cree un perfil de certificado para la autenticación del certificado de cliente.
Configure este perfil de certificado bajo sección de autenticación de la configuración del portal y de la puerta de enlace.
Implementación de certificados de cliente en iPhone/iPad
1. Instale "Apple configurator 2" en el MAC y cree un nuevo perfil.Archivo > Nuevo perfil
Agregue el certificado raíz y el certificado de identidad del cliente al nuevo perfil en la sección CA "Certificados".
- Asegúrese de que también se agregan todos los certificados intermedios del certificado de servidor.
- Agregue la frase de contraseña para el certificado de cliente para que el certificado se pueda instalar junto con la clave.
- El certificado de cliente tendrá que ser el formato ".p12".
2. En " VPN " sección seleccione SSL "Personalizado" como Tipo de conexión y Autenticación de usuario como "Certificado".
3. En Credencial seleccione el Certificado de cliente que se utilizará en el menú desplegable.
Rellene el resto de los campos obligatorios.
Guarda este perfil y empújolo al iPhone/iPad usando el icono Agregar en el configurador
4. El perfil se puede ver en el iPhone / iPad mediante la configuración > perfil general >.
Una vez que el perfil está instalado en el teléfono, el CA certificado raíz del servidor tiene que ser confiado explícitamente.
Para hacer esto en el teléfono, vaya a Configuración > general > Acerca de > configuración de confianza del certificado.
Habilite la opción " ENABLE FULL TRUST DOR ROOT CERTIFICATES " para todos los certificados raíz e CA intermedios CA relevantes.
El proceso anterior se explica en este enlace.
https://support.apple.com/en-us/HT204477
Inicie la conexión al portal desde el GlobalProtect cliente 5.0 en iPhone y debería ser exitosa.
Additional Information
Consulte el siguiente enlace para obtener la configuración completa GlobalProtect del portal y la puerta de enlace.
BASIC GLOBALPROTECT CONFIGURATION WITH USER-LOGON
Apple Configurator 2:
cambios en la autenticación
de iOS Cómo instalar el certificado de cliente en iOS 12.x con Apple Configurator 2