GlobalProtect的证书配置 - (SSL/TLS，客户端证书配置文件，客户端/机器证书)

Wei_Zhang — Fri, 20 Jan 2023 01:51:28 GMT

环境

Global Protect设置

解决办法

本文介绍了在GlobalProtect设置中配置证书的基本知识。请注意，为GlobalProtect部署证书可能有其他方法，本文没有涉及。

SSL/TLS服务配置文件 - 指定门户/网关服务器证书，每个门户/网关都需要一个。
证书配置文件（若有）- 由门户/网关用于请求客户端/机器证书。
在终端客户机上安装客户机/机器证书

A. SSL/TLS服务配置文件

在GlobalProtect中，该配置文件用于指定GlobalProtect门户/网关的 "服务器证书 "和SSL/TLS "协议版本范围"。如果同一个接口同时作为门户和网关，你可以为门户/网关使用相同的SSL/TLS配置文件。如果门户/网关通过不同的接口提供服务，只要证书中在其主题别名SAN(Subject Alternate Name)中包括门户/网关的IP/FQDN，就可以使用相同的SSL/TLS配置文件，如果没有，根据需要为门户和网关创建不同的配置文件。

创建SSL/TLS配置文件的前提是生成/导入门户/网关的 "服务器证书 "及其链(chain)。

要导入外部生成的证书，请到设备>证书管理>证书，点击底部的 "导入"。
要在防火墙上生成证书，请到设备>证书管理>证书，并点击底部的 "生成"。

如果服务器证书是由知名的第三方CA或内部PKI服务器签名的

导入Root CA(私钥是可选的)
如果有中间CA(intermediate CAs)，则导入中间CA（私钥是可选的）
导入由上述CA签名的服务器证书。（"带 "私钥）

重要!

主题别名SAN(Subject Alternate Name)应该至少存在一个条目，用于门户/网关的IP或FQDN "必须 "是该SAN列表中的一个条目。
如果SAN没有上述条目，证书验证将在网关上失败，并将导致连接失败。
不应该是CA类型的。它必须是终端实体(end-entity)的类型。
一种良好的做法，最好使用 FQDN 而不是 IP。在整个配置中保持一致，同时教育终端用户在GlobalProtect客户端的门户字段中使用这个FQDN/IP。例如，如果门户/网关可以通过fqdn 'vpn.xyz.com'或IP 1.1.1.1到达；如果证书引用了fqdn 'vpn.xyz.com'，那么用户 "必须 "使用 "vpn.xyz.com "而不是 "1.1.1.1"。

4. SSL/TLS配置文件

(位置: 设备>证书管理>SSL/TLS服务配置文件)

-名称 -为这个配置文件给出任何名称

-证书 - 参考第三步中的服务器证书

-协议设置 - 为客户端和服务器之间的ssl交易(ssl transaction)选择ssl/tls的最小和最大版本

5. 根据需要在门户/网关中参考这个SSL/TLS配置文件。

如果服务器证书需要在Palo Alto Networks防火墙上生成

1. 生成一个根证书，其常见名称(Common Name)为任何唯一值。(除门户/网关的IP或FQDN外)

(位置: 设备>证书管理>证书，点击屏幕底部的 "生成"）。

2.（可选）生成一个由上述根证书签署的中间证书。指定其常见名称(Common Name)为任何唯一值。(除门户/网关的IP或FQDN外)

3. 生成一个由上述中间证书签署的服务器证书。

a. 如果这个证书中不存在主题别名SAN(Subject Alternate Name)，该证书的常见名称(Common Name) "必须 "与门户/网关的 IP 或 FQDN 匹配。在 PAN 防火墙中，SAN 可以在 " hostname"、"IP "或 " email"类型的可选的"证书属性(certificate attributes)"下创建。

b. 如果SAN至少存在一个条目，那么用于门户/网关的IP或FQDN "必须 "存在于该SAN列表中。

c. 不应该是一个CA。

d. 一个好的做法，最好使用FQDN而不是IP。在整个配置中保持一致，并教育最终用户在GlobalProtect客户端的门户字段中使用这个FQDN/IP。例如，如果可以通过fqdn 'vpn.xyz.com'或IP 1.1.1.1到达门户/网关；证书引用了fqdn 'vpn.xyz.com'，用户 "必须 "使用 "vpn.xyz.com "而不是 "1.1.1.1"。

4. SSL/TLS配置文件

(位置: 设备>证书管理>SSL/TLS服务配置文件)

名称 - 为这个配置文件提供任何名称
证书 - 参考第三步中的服务器证书
协议设置 - 为客户和服务器之间的ssl交易(ssl transaction)选择ssl/tls的最小和最大版本

5. 根据需要在门户/网关中参考这个SSL/TLS配置文件。

B. 证书配置文件

(位置：设备>证书管理>证书配置文件)

证书配置文件指定了一个CA和中间CA的列表。当这个证书配置文件应用于配置时，门户/网关将向客户端发送一个客户端证书请求，要求获得由证书配置文件中指定的CA/中间CA签署的客户端/机器证书。建议在此配置文件中同时放置根和中间CA，而不是只放置Root CA。

重要!

-客户端证书是指用户证书，它可以用于 "user-login"/"on-demand"的连接方法。用于验证用户的身份。

-机器证书指的是设备证书，它可以用于 "pre-login"的连接方法。这用于验证设备，而不是用户。

1. 在 设备>证书管理>证书中导入签署客户端/机器证书的 "Root CA"（私钥可选）。

2. 将签署了客户端/机器证书的 "中间CA"（如果有）导入到设备 > 证书管理 > 证书中（私钥可选）。

3. 到设备 > 证书管理 > 证书配置文件，点击添加。

4. 给该配置文件起个名称。

5. 添加步骤1和2中的根和中间CA。

6. 注意：用户名字段默认设置为 "None"，在一个典型的设置中，用户名是从LDAP/RADIUS认证中提取的，你可以把它设置为None。另一方面，如果证书是唯一的认证方法，也就是说，如果你没有RADIUS/LDAP作为门户/网关认证，那么你必须把用户名字段从None改为'主题'或'主题Alt'，从客户端证书的common-name或Email/ Principal name中提取用户名。如果不这样做，将导致提交失败。

7.（可选）如果门户/网关需要使用CRL或OCSP来验证客户端/机器证书的废止状态，则检查CRL或OCSP。请谨慎使用，因为如果与 "如果证书状态未知，则阻止会话"一起使用，可能会导致客户端连接失败。

8. 根据需要参考这个证书配置文件门户/网关。

C. 在终端客户机中安装客户端/机器证书

当导入客户端/机器证书时，以PKCS格式导入，该格式将包含其私钥。

Windows -

1. 单击 "开始">"运行"，输入mmc以打开Microsoft 管理控制台。

2. 到文件 > 添加/删除管理单元:

重要!

3. 点击证书>添加，选择以下一项或两项:

a. 要添加客户端（用户）证书，选择 "我的用户账户"。这用于 "user-login"和 "on-demand"，因为它可以验证用户。

b. 要添加机器（设备）证书，选择"计算机账户"。这将用于 "pre-login"，因为它可以验证机器。

4. 将客户端/机器证书导入mmc。

a. 如果你要导入客户端证书，请将其导入 "我的用户账户 "下的 "个人 "文件夹。

b. 如果你要导入机器证书，请将其导入 "计算机账户 "下的 "个人 "文件夹。

5. 同样地在 "受信任的根证书颁发机构 "中导入Root CA，在 "中间证书颁发机构 "中导入中间CA（如果有）。

重要!

6. 一旦导入，双击导入的客户机/机器证书，以确保：

a. 它有私钥

b. 它的证书链是完整的，直到其Root CA。如果证书链中缺少Root CA或中间 CA，请按照步骤 5 的说明将它们导入各自的文件夹中。

7. 此时，客户机上的证书已被导入，所以你可以关闭mmc控制台而不保存它。

macOS

1. 打开钥匙串访问，去到系统钥匙串:

article GlobalProtect的证书配置 - (SSL/TLS，客户端证书配置文件，客户端/机器证书) in 配置和实施

GlobalProtect的证书配置 - (SSL/TLS，客户端证书配置文件，客户端/机器证书)