GlobalProtect 客户端证书认证

#Author https://cnblogs.com/id404

 

GlobalProtect 客户端证书认证

 GlobalProtect的基本配置可参考博文 https://www.cnblogs.com/id404/p/17465413.html  本文不再叙述

最终效果是客户端未安装客户端证书时无法登陆，每个客户端可安装各自证书

 

一、证书配置文件

新建证书配置文件，一定要选择右下角的 阻止具有过期证书的会话

二、GlobalProtect修改门户配置

在门户配置-身份验证-证书配置文件 选择上一步创建的配置文件

客户端身份验证中 允许使用用户凭证或客户端证书进行身份验证 选择NO

 

三、GlobalProtect网关修改

在网关-身份验证-证书配置文件 选择第一步创建的配置文件

 

客户端身份验证中 允许使用用户凭证或客户端证书进行身份验证 选择NO

 

四、创建客户端证书

在证书页面生成客户端证书，可以多个用户共用一个证书或单个用户单个证书，可用证书名称或证书属性区分

4.1 证书导出

证书导出格式建议选择PKCS12，客户端需提供密码才能安装 ，提高安全性

 

4.2 证书安装

客户端双击打开后输入密码

MAC：

windows:

4.3 门户登陆 

登陆时选择证书：

登陆成功

MAC：

4.4 客户端登陆：

 

 

五、证书验证

以上四点基本能完成证书认证，在证书过期后需要重新生成证书。但存在一个问题证书过期前吊销证书的话客户端依然能认证成功，除过期时间外其它证书的状态无法验证

以下设置ocsp验证证书状态：

5.1接口修改

修改接口管理的配置文件允许http ocsp验证

注意 根据官方案例，https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kGEMCA2  

不支持OSCP和 GlobalProtect Portal在同一接口上

 

5.2 OCSP响应配置

设置ocsp响应配置

 

设置 证书配置文件

 

5.3 GlobalProtect门户修改

5.4GlobalProtect 网关修改

5.5 生成用户证书

OCSP响应者必须选择正确

 

按照4.1-4.4 步骤进行证书安装及登陆 

 

5.6 吊销证书

证书吊销后门户和网关都无法登陆

 

在测试过程中发现mac系统和windos系统表现有差异，部分证书吊销后客户端依然能正常登陆 ，第五大点证书验证部分仅作参考，有待进一步详细测试