GlobalProtect的证书配置 - (SSL/TLS,客户端证书配置文件,客户端/机器证书)

cancel
Showing results for 
Show  only  | Search instead for 
Did you mean: 
L2 Linker
Did you find this article helpful? Yes No
No ratings

环境

Global Protect设置

 

解决办法

本文介绍了在GlobalProtect设置中配置证书的基本知识。请注意,为GlobalProtect部署证书可能有其他方法,本文没有涉及。

 

  1. SSL/TLS服务配置文件 - 指定门户/网关服务器证书,每个门户/网关都需要一个。
  2. 证书配置文件(若有)- 由门户/网关用于请求客户端/机器证书。
  3. 在终端客户机上安装客户机/机器证书

 

A. SSL/TLS服务配置文件

在GlobalProtect中,该配置文件用于指定GlobalProtect门户/网关的 "服务器证书 "和SSL/TLS "协议版本范围"。如果同一个接口同时作为门户和网关,你可以为门户/网关使用相同的SSL/TLS配置文件。如果门户/网关通过不同的接口提供服务,只要证书中在其主题别名SAN(Subject Alternate Name)中包括门户/网关的IP/FQDN,就可以使用相同的SSL/TLS配置文件,如果没有,根据需要为门户和网关创建不同的配置文件。

 

创建SSL/TLS配置文件的前提是生成/导入门户/网关的 "服务器证书 "及其链(chain)。

  • 导入外部生成的证书,请到设备>证书管理>证书,点击底部的 "导入"。
  • 在防火墙上生成证书,请到设备>证书管理>证书,并点击底部的 "生成"。

 

如果服务器证书是由知名的第三方CA或内部PKI服务器签名的

  1. 导入Root CA(私钥是可选的)
  2. 如果有中间CA(intermediate CAs),则导入中间CA(私钥是可选的)
  3. 导入由上述CA签名的服务器证书。("带 "私钥)

 

重要!

  • 主题别名SAN(Subject Alternate Name)应该至少存在一个条目,用于门户/网关的IP或FQDN "必须 "是该SAN列表中的一个条目。
  • 如果SAN没有上述条目,证书验证将在网关上失败,并将导致连接失败。
  • 不应该是CA类型的。它必须是终端实体(end-entity)的类型。
  • 一种良好的做法,最好使用 FQDN 而不是 IP。在整个配置中保持一致,同时教育终端用户在GlobalProtect客户端的门户字段中使用这个FQDN/IP。例如,如果门户/网关可以通过fqdn 'vpn.xyz.com'或IP 1.1.1.1到达;如果证书引用了fqdn 'vpn.xyz.com',那么用户 "必须 "使用 "vpn.xyz.com "而不是 "1.1.1.1"。

1.png

 

4. SSL/TLS配置文件

(位置: 设备>证书管理>SSL/TLS服务配置文件)

    -名称 -为这个配置文件给出任何名称

    -证书 - 参考第三步中的服务器证书

    -协议设置 - 为客户端和服务器之间的ssl交易(ssl transaction)选择ssl/tls的最小和最大版本

2.png

 

5. 根据需要在门户/网关中参考这个SSL/TLS配置文件。

 

如果服务器证书需要在Palo Alto Networks防火墙上生成

1. 生成一个根证书,其常见名称(Common Name)为任何唯一值。(除门户/网关的IP或FQDN外)

 (位置: 设备>证书管理>证书,点击屏幕底部的 "生成")。

3.png

 

2.(可选)生成一个由上述根证书签署的中间证书。指定其常见名称(Common Name)为任何唯一值。(除门户/网关的IP或FQDN外)
4.png

 

3. 生成一个由上述中间证书签署的服务器证书。

 

a. 如果这个证书中不存在主题别名SAN(Subject Alternate Name),该证书的常见名称(Common Name) "必须 "与门户/网关的 IP 或 FQDN 匹配。在 PAN 防火墙中,SAN 可以在 " hostname"、"IP "或 " email"类型的可选的"证书属性(certificate attributes)"下创建。

b. 如果SAN至少存在一个条目,那么用于门户/网关的IP或FQDN "必须 "存在于该SAN列表中。

c. 不应该是一个CA。

d. 一个好的做法,最好使用FQDN而不是IP。在整个配置中保持一致,并教育最终用户在GlobalProtect客户端的门户字段中使用这个FQDN/IP。例如,如果可以通过fqdn 'vpn.xyz.com'或IP 1.1.1.1到达门户/网关;证书引用了fqdn 'vpn.xyz.com',用户 "必须 "使用 "vpn.xyz.com "而不是 "1.1.1.1"。

 

5.png

 

4. SSL/TLS配置文件

(位置: 设备>证书管理>SSL/TLS服务配置文件)

  • 名称 - 为这个配置文件提供任何名称
  • 证书 - 参考第三步中的服务器证书
  • 协议设置 - 为客户和服务器之间的ssl交易(ssl transaction)选择ssl/tls的最小和最大版本

6.png

5. 根据需要在门户/网关中参考这个SSL/TLS配置文件。

 

B. 证书配置文件

(位置:设备>证书管理>证书配置文件)

证书配置文件指定了一个CA和中间CA的列表。当这个证书配置文件应用于配置时,门户/网关将向客户端发送一个客户端证书请求,要求获得由证书配置文件中指定的CA/中间CA签署的客户端/机器证书。建议在此配置文件中同时放置根和中间CA,而不是只放置Root CA。

 

重要!

-客户端证书是指用户证书,它可以用于 "user-login"/"on-demand"的连接方法。用于验证用户的身份

-机器证书指的是设备证书,它可以用于 "pre-login"的连接方法。这用于验证设备,而不是用户

 

1. 在 设备>证书管理>证书中导入签署客户端/机器证书的 "Root CA"(私钥可选)。

2. 将签署了客户端/机器证书的 "中间CA"(如果有)导入到设备 > 证书管理 > 证书中(私钥可选)。

3. 到设备 > 证书管理 > 证书配置文件,点击添加

4. 给该配置文件起个名称。

5. 添加步骤1和2中的根和中间CA。

 

7.png


6. 注意:用户名字段默认设置为 "None",在一个典型的设置中,用户名是从LDAP/RADIUS认证中提取的,你可以把它设置为None。另一方面,如果证书是唯一的认证方法,也就是说,如果你没有RADIUS/LDAP作为门户/网关认证,那么你必须把用户名字段从None改为'主题'或'主题Alt',从客户端证书的common-name或Email/ Principal name中提取用户名。如果不这样做,将导致提交失败。

 

7.(可选)如果门户/网关需要使用CRL或OCSP来验证客户端/机器证书的废止状态,则检查CRL或OCSP。请谨慎使用,因为如果与 "如果证书状态未知,则阻止会话"一起使用,可能会导致客户端连接失败。

 

8. 根据需要参考这个证书配置文件门户/网关。

 

C. 在终端客户机中安装客户端/机器证书

 

当导入客户端/机器证书时,以PKCS格式导入,该格式将包含其私钥

 

Windows - 

1. 单击 "开始">"运行",输入mmc以打开Microsoft 管理控制台。

01.jfif

 

2. 到文件 > 添加/删除管理单元:

02.png

 

 

重要!

3. 点击证书>添加,选择以下一项或两项:

 

a. 要添加客户端(用户)证书,选择 "我的用户账户"。这用于 "user-login"和 "on-demand",因为它可以验证用户

b. 要添加机器(设备)证书,选择"计算机账户"。这将用于 "pre-login",因为它可以验证机器

8.png

 

9.png

 

4. 将客户端/机器证书导入mmc。

a. 如果你要导入客户端证书,请将其导入 "我的用户账户 "下的 "个人 "文件夹。

b. 如果你要导入机器证书,请将其导入 "计算机账户 "下的 "个人 "文件夹。

 

10.png

 

5. 同样地在 "受信任的根证书颁发机构 "中导入Root CA,在 "中间证书颁发机构 "中导入中间CA(如果有)。

 

11.png

 

重要!

6. 一旦导入,双击导入的客户机/机器证书,以确保:

a. 它有私钥

b. 它的证书链是完整的,直到其Root CA。如果证书链中缺少Root CA或中间 CA,请按照步骤 5 的说明将它们导入各自的文件夹中。

 

12.png

 

13.png

 

7. 此时,客户机上的证书已被导入,所以你可以关闭mmc控制台而不保存它。

 

macOS

 

1. 打开 钥匙串访问,去到系统钥匙串:

14.jfif

 

2. 确保所有的应用程序能访问设备的私钥和Root CA的证书:

15.jfif

 

16.jfif

 

 

Rate this article:
Register or Sign-in
Contributors
Labels
Article Dashboard
Version history
Last update:
‎01-19-2023 05:51 PM
Updated by: