Registre défini manuellement OID pour la sélection des certificats
35876
Created On 10/27/20 21:26 PM - Last Modified 12/14/21 00:07 AM
Objective
Cet article permet d’énumérer les étapes nécessaires pour définir manuellement un spécifique pour sélectionner le meilleur certificat correspondant OID pour l’authentification portail/passerelle avant la connexion initiale au portail.
Environment
- Nouvelle GlobalProtect installation.
- L’utilisateur est sous gestion de contrôleur de domaine
- Portal utilise certificat d’authentification
- Système OS Windows
- PAN-OSN’importe quelle version
Procedure
- Installez GP l’application directement PC sur ou poussez par le contrôleur de domaine à l’aide GPO .
Remarque : Pour plus d’informations sur l’installation de GlobalProtect l’application, veuillez consulter le document suivant.
- Utilisez le contrôleur de domaine pour pousser la clé de registre avec le nom ext-key-use-oid-for-client-cert à l’utilisateur sous ce chemin PC Computer\HKEY_LOCAL_MACHINE\ SOFTWARE \Palo Alto Networks\ GlobalProtect \Paramètres avec la valeur requise qui correspondent au certificat que nous voulons OID utiliser.
- Redémarrez les PC utilisateurs pour rendre ce changement de registre efficace.
- Après le redémarrage GP utiliser App pour se connecter à la société Portal, dans ce cas, le sait quel certificat doit être utilisé pour GP l’authentification et pas besoin d’inciter l’utilisateur à sélectionner le certificat.
Additional Information
Remarque : Lorsque vous créez le certificat, vous pouvez spécifier OID l’objectif du certificat. Voici quelques-uns des OID les plus couramment utilisés :
- 1.3.6.1.5.5.7.3.1 — Authentification du serveur
- 1.3.6.1.5.5.7.3.2 — Authentification du client (critères de correspondance par défaut)
- 1.3.6.1.5.5.7.3.3 — Signature de code 1.3.6.1.5.5.7.3.4—Protection par courriel
- 1.3.6.1.5.5.7.3.5 — Système final IPSec
- 1.3.6.1.5.5.7.3.6 — Tunnel IPSec
- 1.3.6.1.5.5.7.3.7 — Utilisateur IPSec
- 1.3.6.1.5.5.7.3.8 — Horodatage
- 1.3.6.1.5.5.7.3.9 — OCSP Signature