如何修复 GlobalProtect 因机器证书主题而间歇性工作的预登录?
12436
Created On 03/21/21 06:32 AM - Last Modified 05/16/23 21:01 PM
Objective
症状/情景:
- 仅使用机器证书使用预登录连接方法的全球保护客户端
- 证书配置文件 GP 上的 FW 用户名字段指定为具有主要名称的主题 Alt。
- 使用 PKI 基础设施通过组将带有私钥的机器证书部署到每个 PC (本地计算机) policy 中。
- 根 CA 证书和中间 CA 证书已经导入 FW 和 PC。
- GP GW仅配置有证书配置文件(没有其他身份验证配置文件)和无身份验证 Cookie 覆盖的门户和身份验证。
- 问题被观察到约90% GP 的预登录连接不成功, GP 显示"断开"之前,用户登录到Windows。
- 只有大约 10%, 它看起来像 GP 连接是成功的, 因为它没有显示 "断开", 但没有 GP 显示 "连接" 在 Windows 登录屏幕。 用户登录 Windows 后, GP 图标显示红色与任务栏右下角断开连接,几秒钟后,它以 GP 显示 绿色的图标成功连接。 因此,它看起来像 GP 在用户登录到Windows后连接,而不是之前作为预登录应该是。
Environment
- 全球保护
- 窗户
Procedure
原因
- 导入本地计算机的机器证书(带有私钥)本身没有主题字段(空),而是具有具有主要名称和名称的主题替代名称字段 DNS 。
- 对于 GP 预登录,每个机器证书必须让主题字段使用 CN 名称(例如 CN =laptop1.example.com)而不是用户来识别终点。 因此, CN 机器证书中用于预登录的标的字段(设备名称)要求在证书本身上,也不能是无或空的,无论在证书配置文件下的用户名字段中指定了什么 FW 。
- 如果仅使用证书配置文件进行 GP 身份验证,而没有其他身份验证配置文件,则仅在 GP 需要 IP 用户映射时才需要指定证书配置文件下的用户名字段。 否则, GP 映射无法创建,因为没有可用的用户名与分配的关联 IP 。
分辨率
- 需要 PKI 通过在 CN 机器证书上添加名称(作为设备名称)的主题字段进行更改,并将新机器证书推至 PC 通过集团 Policy 。
- 然后在 PC GlobalProtect 用户登录到 Windows 之前重新启动 Windows 徽标屏幕上的"连接"和显示。 因此 GP ,预登录工作如预期的那样。
Additional Information
还有一件事需要注意,如果使用身份验证配置文件(如 LDAP )和证书配置文件 GP 进行身份验证,并在证书配置文件中设置用户名字段 CN firewall ,则从证书中学习的用户名优先于提供的用户名 LDAP 。