环境
Global Protect设置
解决办法
本文介绍了在GlobalProtect设置中配置证书的基本知识。请注意,为GlobalProtect部署证书可能有其他方法,本文没有涉及。
A. SSL/TLS服务配置文件
在GlobalProtect中,该配置文件用于指定GlobalProtect门户/网关的 "服务器证书 "和SSL/TLS "协议版本范围"。如果同一个接口同时作为门户和网关,你可以为门户/网关使用相同的SSL/TLS配置文件。如果门户/网关通过不同的接口提供服务,只要证书中在其主题别名SAN(Subject Alternate Name)中包括门户/网关的IP/FQDN,就可以使用相同的SSL/TLS配置文件,如果没有,根据需要为门户和网关创建不同的配置文件。
创建SSL/TLS配置文件的前提是生成/导入门户/网关的 "服务器证书 "及其链(chain)。
如果服务器证书是由知名的第三方CA或内部PKI服务器签名的
重要!
4. SSL/TLS配置文件
(位置: 设备>证书管理>SSL/TLS服务配置文件)
-名称 -为这个配置文件给出任何名称
-证书 - 参考第三步中的服务器证书
-协议设置 - 为客户端和服务器之间的ssl交易(ssl transaction)选择ssl/tls的最小和最大版本
5. 根据需要在门户/网关中参考这个SSL/TLS配置文件。
如果服务器证书需要在Palo Alto Networks防火墙上生成
1. 生成一个根证书,其常见名称(Common Name)为任何唯一值。(除门户/网关的IP或FQDN外)
(位置: 设备>证书管理>证书,点击屏幕底部的 "生成")。
2.(可选)生成一个由上述根证书签署的中间证书。指定其常见名称(Common Name)为任何唯一值。(除门户/网关的IP或FQDN外)
3. 生成一个由上述中间证书签署的服务器证书。
a. 如果这个证书中不存在主题别名SAN(Subject Alternate Name),该证书的常见名称(Common Name) "必须 "与门户/网关的 IP 或 FQDN 匹配。在 PAN 防火墙中,SAN 可以在 " hostname"、"IP "或 " email"类型的可选的"证书属性(certificate attributes)"下创建。
b. 如果SAN至少存在一个条目,那么用于门户/网关的IP或FQDN "必须 "存在于该SAN列表中。
c. 不应该是一个CA。
d. 一个好的做法,最好使用FQDN而不是IP。在整个配置中保持一致,并教育最终用户在GlobalProtect客户端的门户字段中使用这个FQDN/IP。例如,如果可以通过fqdn 'vpn.xyz.com'或IP 1.1.1.1到达门户/网关;证书引用了fqdn 'vpn.xyz.com',用户 "必须 "使用 "vpn.xyz.com "而不是 "1.1.1.1"。
4. SSL/TLS配置文件
(位置: 设备>证书管理>SSL/TLS服务配置文件)
5. 根据需要在门户/网关中参考这个SSL/TLS配置文件。
B. 证书配置文件
(位置:设备>证书管理>证书配置文件)
证书配置文件指定了一个CA和中间CA的列表。当这个证书配置文件应用于配置时,门户/网关将向客户端发送一个客户端证书请求,要求获得由证书配置文件中指定的CA/中间CA签署的客户端/机器证书。建议在此配置文件中同时放置根和中间CA,而不是只放置Root CA。
重要!
-客户端证书是指用户证书,它可以用于 "user-login"/"on-demand"的连接方法。用于验证用户的身份。
-机器证书指的是设备证书,它可以用于 "pre-login"的连接方法。这用于验证设备,而不是用户。
1. 在 设备>证书管理>证书中导入签署客户端/机器证书的 "Root CA"(私钥可选)。
2. 将签署了客户端/机器证书的 "中间CA"(如果有)导入到设备 > 证书管理 > 证书中(私钥可选)。
3. 到设备 > 证书管理 > 证书配置文件,点击添加。
4. 给该配置文件起个名称。
5. 添加步骤1和2中的根和中间CA。
6. 注意:用户名字段默认设置为 "None",在一个典型的设置中,用户名是从LDAP/RADIUS认证中提取的,你可以把它设置为None。另一方面,如果证书是唯一的认证方法,也就是说,如果你没有RADIUS/LDAP作为门户/网关认证,那么你必须把用户名字段从None改为'主题'或'主题Alt',从客户端证书的common-name或Email/ Principal name中提取用户名。如果不这样做,将导致提交失败。
7.(可选)如果门户/网关需要使用CRL或OCSP来验证客户端/机器证书的废止状态,则检查CRL或OCSP。请谨慎使用,因为如果与 "如果证书状态未知,则阻止会话"一起使用,可能会导致客户端连接失败。
8. 根据需要参考这个证书配置文件门户/网关。
C. 在终端客户机中安装客户端/机器证书
当导入客户端/机器证书时,以PKCS格式导入,该格式将包含其私钥。
Windows -
1. 单击 "开始">"运行",输入mmc以打开Microsoft 管理控制台。
2. 到文件 > 添加/删除管理单元:
重要!
3. 点击证书>添加,选择以下一项或两项:
a. 要添加客户端(用户)证书,选择 "我的用户账户"。这用于 "user-login"和 "on-demand",因为它可以验证用户。
b. 要添加机器(设备)证书,选择"计算机账户"。这将用于 "pre-login",因为它可以验证机器。
4. 将客户端/机器证书导入mmc。
a. 如果你要导入客户端证书,请将其导入 "我的用户账户 "下的 "个人 "文件夹。
b. 如果你要导入机器证书,请将其导入 "计算机账户 "下的 "个人 "文件夹。
5. 同样地在 "受信任的根证书颁发机构 "中导入Root CA,在 "中间证书颁发机构 "中导入中间CA(如果有)。
重要!
6. 一旦导入,双击导入的客户机/机器证书,以确保:
a. 它有私钥
b. 它的证书链是完整的,直到其Root CA。如果证书链中缺少Root CA或中间 CA,请按照步骤 5 的说明将它们导入各自的文件夹中。
7. 此时,客户机上的证书已被导入,所以你可以关闭mmc控制台而不保存它。
macOS
1. 打开 钥匙串访问,去到系统钥匙串:
2. 确保所有的应用程序能访问设备的私钥和Root CA的证书:
