設定方法GlobalProtectApp認証にクライアント証明書を使用するには、Apple iOS 12 で 5.0 を使用します。

設定方法GlobalProtectApp認証にクライアント証明書を使用するには、Apple iOS 12 で 5.0 を使用します。

81433
Created On 03/27/19 09:43 AM - Last Modified 01/03/24 18:11 PM


Objective


構成、設定GlobalProtectApp認証にクライアント証明書を使用するには、Apple iOS 12 で 5.0 を使用します。

Environment


  • GlobalProtect VPN Apple iOS のクライアント 5.0。
  • このドキュメントでは、iOS バージョン 12 を搭載した iPhone が使用されています。
  • この手順は、以前のバージョンの iOS にも適用されます。
  • このドキュメントでは、Apple Configurator 2 を使用してクライアント証明書を iPhone に展開しています。

 

Procedure


クライアント/サーバー証明書の要件:

Client Cert Auth が動作するための最小証明書要件があります。GP Apple iPhone/iPad のクライアント 5.0。
簡単にするために、firewallの証明書は "サーバー証明書"このドキュメントでは。
注: 同じ証明書要件が、すべての実装に適用されます。GlobalProtectクライアント証明書認証が必要な場所。

クライアント証明書:

発行されたクライアント証明書には、拡張キー使用法「clientAuth」が含まれている必要があります
ユーザーが追加した画像

件名CNを空にすることはできません。
ユーザーが追加した画像

サーバー証明書:

サーバー証明書には、拡張キー使用法「サーバー認証 ( 1.3.6.1.5.5.7.3.1 )」が必要です。
ユーザーが追加した画像
のURLゲートウェイ接続に使用されるものは、次のように存在する必要がありますSANサーバー証明書のフィールド。 
 
ユーザーが追加した画像

構成 :

1. 上記のすべての要件を備えた証明書を取得したら、サーバー証明書をfirewall.
注: この場合、同じCAserver は、クライアントとサーバー証明書を発行するために使用されます。
それらが2つ異なる場合CAサーバー、次に両方をインストールしますCA上のサーバー証明書PA firewallそれらを「信頼されたルート」としてマークしますCA証明書"。

ユーザーが追加した画像


2.次に、これによってポータルとゲートウェイに対して発行されたサーバー証明書をインストールしますCA.

ユーザーが追加した画像


3.構成しますSSL/TLSサーバー証明書のプロファイル。

ユーザーが追加した画像


4.これを使用するようにポータルとゲートウェイの構成を指定しますSSL/TLSサービス プロファイル。

ユーザーが追加した画像

ユーザーが追加した画像


5. クライアント証明書認証用の証明書プロファイルを作成します。

画像.png

6. 中間証明書がある場合に備えて、ルート証明書と中間証明書の両方が証明書プロファイルに追加されていることを確認します。CA証明書が存在します。
ポータルおよびゲートウェイ構成の認証セクションで、この証明書プロファイルを構成します。
ユーザーが追加した画像

iPhone/iPad へのクライアント証明書の展開

1. 「Apple コンフィギュレータ 2」を PC にインストールします。MAC新しいプロファイルを作成します。
ファイル > 新しいプロファイル
ルートを追加CA証明書とクライアントの ID 証明書を、「証明書」セクションの下の新しいプロファイルに追加します。
  • サーバー証明書のすべての中間証明書も追加されていることを確認してください。
  • 証明書をキーと一緒にインストールできるように、クライアント証明書のパスフレーズを追加します。
  • クライアント証明書は「.p12」形式である必要があります。
ユーザーが追加した画像
ユーザーが追加した画像

2.「VPN " セクションを選択 "カスタムSSL接続タイプとして「」、「証明書」としてユーザー認証。
ユーザーが追加した画像
ユーザーが追加した画像

3. [資格情報] で、使用するクライアント証明書をドロップダウンから選択します。
残りの必須フィールドに入力します。
このプロファイルを保存し、コンフィギュレーターの [追加] アイコンを使用して iPhone/iPad にプッシュします。
ユーザーが追加した画像

4. iPhone/iPad でプロファイルを表示するには、[設定] > [一般] > [プロファイル] に移動します。
プロファイルが電話機にインストールされると、CAサーバーのルート証明書は明示的に信頼されている必要があります。
電話でこれを行うには、[設定] > [一般] > [バージョン情報] > [証明書信頼設定] に移動します。
「ENABLE FULL TRUST DOR ROOT CERTIFICATES " 関連するすべてのルートのオプションCAと中級者CA証明書。 
 
ユーザーが追加した画像

上記のプロセスは、このリンクで説明されています。
https://support.apple.com/en-us/HT204477

からポータルへの接続を開始します。GlobalProtect client 5.0 を iPhone にインストールすると、成功するはずです。
 

Additional Information


完全版については、以下のリンクを参照してください。GlobalProtectポータルとゲートウェイの構成。
BASIC GLOBALPROTECT CONFIGURATION WITH USER-LOGON

アップル コンフィギュレーター 2:
iOS 認証の変更
Apple Configurator 2 を使用して iOS 12.x にクライアント証明書をインストールする方法
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000boSUCAY&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language