はHIP証明書チェック用に設定されたオブジェクトでは、クライアント マシンが証明書に公開キーと秘密キーの両方を持っている必要がありますか?
22749
Created On 01/23/23 16:31 PM - Last Modified 01/31/23 00:16 AM
Question
はHIP証明書チェック用に設定されたオブジェクトでは、クライアント マシンが証明書に公開キーと秘密キーの両方を持っている必要がありますか?
Environment
- GlobalProtect
- 対応 PAN-OS
- HIP 小切手
Answer
- はい、HIPクライアント マシンで証明書を確認するCAに添付された証明書プロファイルに記載されている証明書HIPオブジェクトを確認します。
- クライアントが証明書の秘密鍵を持っていない場合、それは有効な証明書とは見なされません。
GUI:オブジェクト >GlobalProtect >HIPオブジェクト > 追加 > 証明書
Additional Information
- いつもの、HIPチェックは、マシン、ユーザー、または内部のいずれかに一致するように行われますPKIクライアントに発行された証明書。 このような証明書は、公開鍵と秘密鍵のペアとしてのみ有効と見なされます。
- 公開ルートCAGoDaddy、Digicert などの証明書または中間証明書には公開鍵しかありません。 これらは信頼されたルートとして使用されますCA証明書と照合することはできませんHIP証明書チェック。