如何配置GlobalProtectAppApple iOS 12 上的 5.0 使用客户端证书进行身份验证。
81421
Created On 03/27/19 09:43 AM - Last Modified 01/03/24 18:11 PM
Objective
配置GlobalProtectAppApple iOS 12 上的 5.0 使用客户端证书进行身份验证。
Environment
- GlobalProtect VPN Apple iOS 上的客户端 5.0。
- 文档中使用了 iOS 版本 12 的 iPhone。
- 该过程也适用于以前版本的 iOS。
- 本文档中已使用 Apple Configurator 2 将客户端证书部署到 iPhone。
Procedure
客户端/服务器证书要求:
Client Cert Auth 有最低证书要求才能使用GPApple iPhone/iPad 上的客户端 5.0。
为简单起见,firewall的证书将被称为“服务器证书" 在本文档中。
注意:相同的证书要求适用于所有实施GlobalProtect需要客户端证书身份验证的地方。
客户证书:
颁发的客户端证书应具有扩展密钥用法“clientAuth”
服务器证书:
服务器证书将需要扩展密钥用法“服务器身份验证(1.3.6.1.5.5.7.3.1)”这URL用于网关连接应该作为SAN服务器证书上的字段。
配置 :
1. 获得满足上述所有要求的证书后,在服务器上安装服务器证书firewall.
注意:在这种情况下,相同CA服务器用于颁发客户端和服务器证书。
如果他们两个不同CA服务器,然后同时安装CA上的服务器证书PA firewall并将它们标记为“受信任的根CA证书”。
2.然后安装这个为Portal和Gateway颁发的服务器证书CA.
3.配置一个SSL/TLS服务器证书的配置文件。
4.指向Portal和Gateway配置使用这个SSL/TLS服务简介。
5. 为客户端证书身份验证创建证书配置文件。
在门户和网关配置的身份验证部分下配置此证书配置文件。
客户端证书部署到 iPhone/iPad
1.在电脑上安装“Apple configurator 2”MAC并创建一个新配置文件。文件 > 新建配置文件
添加根CA证书和客户端的身份证书到“证书”部分下的新配置文件。
- 确保还添加了服务器证书的所有中间证书。
- 添加客户端证书的密码,以便证书可以与密钥一起安装。
- 客户端证书需要是“.p12”格式。
2. 在“VPN ”部分选择“自定义SSL“作为连接类型,用户身份验证作为“证书”。
3. 在凭据下,从下拉列表中选择要使用的客户端证书。
填写其余必填字段。
保存此配置文件并使用配置器上的添加图标将其推送到 iPhone/iPad
4. 可以在 iPhone/iPad 上转到“设置”>“通用”>“个人资料”来查看个人资料。
在手机上安装配置文件后,CA必须明确信任服务器的根证书。
要在手机上执行此操作,请转到“设置”>“通用”>“关于”>“证书信任设置”。
启用“ENABLE FULL TRUST DOR ROOT CERTIFICATES " 所有相关根的选项CA和中级CA证书。
此链接中解释了上述过程。
https://support.apple.com/en-us/HT204477
从GlobalProtectiPhone 上的客户端 5.0,它应该会成功。
Additional Information
完整请参考以下链接GlobalProtect门户和网关配置。
BASIC GLOBALPROTECT CONFIGURATION WITH USER-LOGON
苹果配置器 2:
iOS 身份验证更改
如何使用 Apple Configurator 2 在 iOS 12.x 中安装客户端证书