是否HIP为证书检查设置的对象要求客户端机器在证书上同时拥有公钥和私钥?
22751
Created On 01/23/23 16:31 PM - Last Modified 01/31/23 00:21 AM
Question
是否HIP为证书检查设置的对象要求客户端机器在证书上同时拥有公钥和私钥?
Environment
- GlobalProtect
- 支持的 PAN-OS
- HIP 查看
Answer
- 是的,一个HIP检查客户端计算机上的证书查找由客户端颁发的公钥和私钥对CA随附的证书配置文件中提到的证书HIP检查对象。
- 如果客户端没有证书的私钥,则该证书不被视为有效证书。
GUI:对象 >GlobalProtect >HIP对象 > 添加 > 证书
Additional Information
- 通常,HIP进行检查以匹配机器、用户或内部PKI为客户颁发证书。 此类证书仅作为公钥+私钥对才被视为有效。
- 公共根CAGoDaddy、Digicert 等证书或中间证书只有公钥。 这些被用作受信任的根CA证书,不能检查HIP证书检查。