如何配置GlobalProtectAppApple iOS 12 上的 5.0 使用客户端证书进行身份验证。 - Knowledge Base - Palo Alto Networks

如何配置GlobalProtectAppApple iOS 12 上的 5.0 使用客户端证书进行身份验证。

99941

Created On 03/27/19 09:43 AM - Last Modified 01/31/25 21:43 PM

Objective

配置GlobalProtectAppApple iOS 12 上的 5.0 使用客户端证书进行身份验证。

Environment

GlobalProtect VPN Apple iOS 上的客户端 5.0。
文档中使用了 iOS 版本 12 的 iPhone。
该过程也适用于以前版本的 iOS。
本文档中已使用 Apple Configurator 2 将客户端证书部署到 iPhone。

Procedure

客户端/服务器证书要求：

Client Cert Auth 有最低证书要求才能使用GPApple iPhone/iPad 上的客户端 5.0。
为简单起见，firewall的证书将被称为“服务器证书" 在本文档中。
注意：相同的证书要求适用于所有实施GlobalProtect需要客户端证书身份验证的地方。

客户证书：

颁发的客户端证书应具有扩展密钥用法“clientAuth”
用户添加的图像

主题CN客户端证书上的不能为空。

服务器证书：

服务器证书将需要扩展密钥用法“服务器身份验证（1.3.6.1.5.5.7.3.1）”
用户添加的图像

这URL用于网关连接应该作为SAN服务器证书上的字段。

配置：

1. 获得满足上述所有要求的证书后，在服务器上安装服务器证书firewall.
注意：在这种情况下，相同CA服务器用于颁发客户端和服务器证书。
如果他们两个不同CA服务器，然后同时安装CA上的服务器证书PA firewall并将它们标记为“受信任的根CA证书”。

用户添加的图像

2.然后安装这个为Portal和Gateway颁发的服务器证书CA.

用户添加的图像

3.配置一个SSL/TLS服务器证书的配置文件。

用户添加的图像

4.指向Portal和Gateway配置使用这个SSL/TLS服务简介。

用户添加的图像

5. 为客户端证书身份验证创建证书配置文件。

图片.png

6. 确保根证书和中间证书都添加到证书配置文件中，以防存在中间证书CA证书存在。
在门户和网关配置的身份验证部分下配置此证书配置文件。

客户端证书部署到 iPhone/iPad

1.在电脑上安装“Apple configurator 2”MAC并创建一个新配置文件。
文件 > 新建配置文件
添加根CA证书和客户端的身份证书到“证书”部分下的新配置文件。

确保还添加了服务器证书的所有中间证书。
添加客户端证书的密码，以便证书可以与密钥一起安装。
客户端证书需要是“.p12”格式。

2. 在“VPN ”部分选择“自定义SSL“作为连接类型，用户身份验证作为“证书”。

3. 在凭据下，从下拉列表中选择要使用的客户端证书。
填写其余必填字段。
保存此配置文件并使用配置器上的添加图标将其推送到 iPhone/iPad

4. 可以在 iPhone/iPad 上转到“设置”>“通用”>“个人资料”来查看个人资料。
在手机上安装配置文件后，CA必须明确信任服务器的根证书。
要在手机上执行此操作，请转到“设置”>“通用”>“关于”>“证书信任设置”。
启用“ENABLE FULL TRUST DOR ROOT CERTIFICATES " 所有相关根的选项CA和中级CA证书。