Comment configurer GlobalProtect App 5.0 sur Apple iOS 12 pour utiliser le certificat client pour l’authentification.
Objective
Configurez GlobalProtect App la version 5.0 sur Apple iOS 12 pour utiliser le certificat client pour l’authentification.
Environment
- GlobalProtect VPN client 5.0 sur Apple iOS.
- iPhone avec iOS Version 12 a été utilisé dans le document.
- La procédure s’applique également aux versions précédentes d’iOS.
- Apple Configurator 2 a été utilisé dans ce document pour déployer le certificat client sur l’iPhone.
Procedure
Exigences relatives aux certificats clients/serveurs :
Il existe des exigences minimales de certification pour que Client Cert Auth fonctionne avec GP le client 5.0 sur Apple iPhone/iPad.
Par souci de simplicité, le firewallcertificat de sera appelé « Certificat de serveur » dans ce document.
Remarque : Les mêmes exigences en matière de certificat s’appliquent à toutes les implémentations pour GlobalProtect lesquelles l’authentification Client Cert est requise.
Certificat de client :
Le certificat client délivré doit avoir l’utilisation clé étendue « clientAuth »
Certificat serveur :
Le certificat de serveur nécessitera l’utilisation étendue de la clé « Authentification du serveur ( 1.3.6.1.5.5.7.3.1 )"L’utilisation URL utilisée pour la connexion de passerelle doit être présente sous forme de champ sur le certificat de SAN serveur.
configuration:
1. Une fois que les certificats avec toutes les exigences ci-dessus sont obtenus, puis installer le certificat serveur sur le firewall .
Remarque : Dans ce cas, le même CA serveur est utilisé pour délivrer le client et le certificat serveur.
S’il s’appelle CA deux serveurs différents, installez les CA deux certificats de serveur sur le et PA firewall marquez-les comme « certificat root CA de confiance ».
2. Ensuite, installez le certificat de serveur qui a été émis pour le portail et la passerelle par ce CA .
3. Configurer un SSL / profil pour le certificat TLS serveur.
4. Pointez la configuration Portail et Passerelle pour utiliser ce SSL / TLS Profil de service.
5. Créer un profil de certificat pour l’authentification du certificat client.
Configurez ce profil de certificat sous la section Authentification de la configuration Portail et Passerelle.
Déploiement d’un certificat client sur iPhone/iPad
1. Installez « Apple configurator 2 » sur le MAC et créez un nouveau profil.Fichier > nouveau profil
Ajouter le cert Root et CA l’identité du client cert au nouveau profil sous la section « Certificats ».
- Assurez-vous que tous les certificats intermédiaires du certificat serveur sont également ajoutés.
- Ajoutez le passphrase pour le certificat client afin que le certificat puisse être installé avec la clé.
- Le certificat client devra être format « .p12 ».
2. Sous " " VPN section sélectionnez " Personnalisé " comme SSL type de connexion et authentification de l’utilisateur comme " Certificat « .
3. En vertu des informations d’identification, sélectionnez le Cert client à utiliser à partir du dropdown.
Remplissez le reste des champs requis.
Enregistrez ce profil et poussez-le vers l’iPhone/iPad à l’aide de l’icône Ajouter sur le configurateur
4. Le profil peut être consulté sur l’iPhone/iPad en allant à Paramètres > profil > général.
Une fois que le profil est installé sur le téléphone, CA le certificat racine du serveur doit être fiable explicitement.
Pour ce faire au téléphone, rendez-vous sur Paramètres > général > les > de confiance des certificats.
Activer ENABLE FULL TRUST DOR ROOT CERTIFICATES l’option « » pour tous les certificats Root et Intermediate CA CA pertinents.
Le processus ci-dessus est expliqué dans ce lien.
https://support.apple.com/en-us/HT204477
Lancez la connexion au portail à partir du GlobalProtect client 5.0 sur iPhone et cela devrait réussir.
Additional Information
Veuillez consulter le lien ci-dessous pour connaître la configuration complète GlobalProtect du portail et de la passerelle.
BASIC GLOBALPROTECT CONFIGURATION WITH USER-LOGON
Apple Configurator 2 : modifications -ERR:REF-NOT-FOUND-de l’authentification iOS Comment installer le certificat client dans iOS 12.x à l’aide d’Apple Configurator 2