GlobalProtect 客户端证书认证

2023/06/16 PaloAlto 共 1029 字,约 3 分钟

GlobalProtect 客户端证书认证

GlobalProtect的基本配置可参考博文 https://www.cnblogs.com/id404/p/17465413.html 本文不再叙述

最终效果是客户端未安装客户端证书时无法登陆,每个客户端可安装各自证书

 

一、证书配置文件

新建证书配置文件,一定要选择右下角的 阻止具有过期证书的会话

二、GlobalProtect修改门户配置

在门户配置-身份验证-证书配置文件 选择上一步创建的配置文件

客户端身份验证中 允许使用用户凭证或客户端证书进行身份验证 选择NO

 

三、GlobalProtect网关修改

在网关-身份验证-证书配置文件 选择第一步创建的配置文件

 

客户端身份验证中 允许使用用户凭证或客户端证书进行身份验证 选择NO

 

四、创建客户端证书

在证书页面生成客户端证书,可以多个用户共用一个证书或单个用户单个证书,可用证书名称或证书属性区分

4.1 证书导出

证书导出格式建议选择PKCS12,客户端需提供密码才能安装 ,提高安全性

 

4.2 证书安装

客户端双击打开后输入密码

MAC:

windows:

4.3 门户登陆

登陆时选择证书:

登陆成功

MAC:

4.4 客户端登陆:

 

 

五、证书验证

以上四点基本能完成证书认证,在证书过期后需要重新生成证书。但存在一个问题证书过期前吊销证书的话客户端依然能认证成功,除过期时间外其它证书的状态无法验证

以下设置ocsp验证证书状态:

5.1接口修改

修改接口管理的配置文件允许http ocsp验证

注意 根据官方案例,https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kGEMCA2  

不支持OSCP和 GlobalProtect Portal在同一接口上

 

5.2 OCSP响应配置

设置ocsp响应配置

 

设置 证书配置文件

 

5.3 GlobalProtect门户修改

5.4GlobalProtect 网关修改

5.5 生成用户证书

OCSP响应者必须选择正确

 

按照4.1-4.4 步骤进行证书安装及登陆 

 

5.6 吊销证书

证书吊销后门户和网关都无法登陆

 

在测试过程中发现mac系统和windos系统表现有差异,部分证书吊销后客户端依然能正常登陆 ,第五大点证书验证部分仅作参考,有待进一步详细测试

Search

    Table of Contents