Je suis très nouveau chez Palo Alto, je travaille principalement avec Sonicwalls.
Nous avons hérité d’un PA-220
Quelques utilisateurs finaux utilisent GlobalProtect (GP) pour le VPN. GP a un portail face à Internet dont le certificat SSL public a récemment expiré. Il m’a fallu beaucoup de temps pour comprendre comment le renouveler et le réappliquer, mais c’est maintenant réglé. Les navigateurs montrent un certificat SSL signé par une CA externe actif pour le portail GP.
Malheureusement, maintenant, lorsque les utilisateurs accèdent au portail GP, ils sont confrontés à l’erreur “Un certificat client valide est requis”. Je sais que cela est dû au besoin d’un certificat dans le magasin de certificats de l’endpoint, mais j’ai exporté une copie de chaque certificat du Palo Alto et l’ai importée dans mon propre magasin, et je continue à recevoir l’erreur.
Il semble que vous utilisez une authentification par certificat. Vous devez vous renseigner sur le fonctionnement de l’authentification par certificat sur Palo Alto. Il existe de nombreux articles KB avec des exemples.
J’ai essayé cela, et bien que cela fonctionne, je suis préoccupé par le fait que n’avoir qu’une seule forme d’authentification sans le certificat pourrait constituer un risque de sécurité. J’apprécie votre réponse
Désactivez l’option certificat sur le portail GP.
Vous avez seulement besoin du Profil SSL/TLS pour présenter un certificat SSL sur le portail.
Les autres options de certificat (sous l’onglet Authentification) concernent la validation des certificats clients.
Portail : certificat utilisateur
Passerelle : certificat machine
Avant l’expiration du certificat, tout fonctionnait-il ?
Quel profil de certificat avez-vous configuré pour l’authentification ? S’agit-il de certificats délivrés par votre PKI interne, ou tous les certificats sont-ils générés localement sur le pare-feu ?
Dans les paramètres d’authentification du portail, il y a une question AND / OR concernant l’exigence :
certificat et identifiants/utilisateur
certificat ou identifiants/utilisateur
Vous pouvez le mettre en OR, mais je pense que la question est, aviez-vous l’intention d’avoir AND lorsque vous l’avez configuré ? C’est beaucoup plus sécurisé que OR.
Probablement la meilleure question à poser en ce moment est de savoir à quel point vous connaissez le fonctionnement de TLS ou du chiffrement asymétrique.
Ajoutant à cela, avant que ce certificat ne soit exporté - l’exportation du certificat depuis le profil d’authentification par certificat et son importation ne résoudra pas le problème. Vous devrez générer un certificat, avec la clé privée associée, à partir de l’autorité utilisée pour le profil d’authentification par certificat sur la station de travail locale.
Lire la documentation ET avoir des connaissances de base ou intermédiaires en PKI sera crucial pour cette mise en œuvre. Je vous suggère de consulter également votre équipe AD/domaine pour obtenir de l’aide.
Je pense que vous avez répondu à la discussion au lieu de moi (au moins la réponse a du sens).
Je vais fournir une petite formation ci-dessous :
Les fondamentaux du chiffrement asymétrique reposent sur deux ensembles de clés : la clé publique que tout le monde peut voir et la clé privée qui est (ou doit être) secrète pour l’extérieur du propriétaire. Ces clés sont liées par une magie mathématique. Cela est généralement représenté par des paires de certificats basés sur x509.
Dans une session TLS basique (très très large), une connexion sera établie selon la séquence suivante :
Jill veut envoyer un message crypté à Bob.
Jill utilise la clé publique de Bob (issue de son certificat accessible) pour chiffrer le message.
Bob reçoit le message chiffré et le déchiffre avec sa clé privée.
C’est une simplification grossière, mais cela l’explique de façon simple et compréhensible. En pratique… Vous voyez des sessions cryptées configurées ainsi tout le temps. Lorsque vous accédez à votre page GP, Google, etc., votre poste de travail utilise la clé publique offerte pour établir cette connexion tant que le certificat provient d’une source que votre système fait confiance (les certificats que vous avez exportés et importés dans le dossier de confiance CA).
Ce qui se passe sur votre GP (je suppose) c’est que la session exige une preuve d’identité bidirectionnelle du poste de travail utilisant l’autorité de certificat qui a été assignée dans la configuration du portail GP. Par ceci… Le pare-feu prouve qu’il est celui qu’il dit être en utilisant une paire de clés de certificat, et le poste de travail fait de même (avec une paire de clés de certificat délivrée par la CA attendue).
Vérifiez votre configuration pour voir quelle CA est actuellement configurée comme CA attendue pour le portail, puis vérifiez votre station de travail (en vous assurant d’ouvrir la gestion des certificats dans le contexte de la machine) pour vous assurer qu’il y ait un certificat correctement configuré de cette CA installé dessus.
Il y a beaucoup plus que je n’ai pas abordé, mais cela devrait être un point de départ.
Malheureusement, je ne suis pas sûr. Je suis arrivé dans le ticket à moitié et la documentation laisse beaucoup à désirer.
Je sais que GlobalProtect était configuré pour exiger à la fois un certificat et un nom d’utilisateur/mot de passe avant que je ne commence à agir. Je me demande si c’était peut-être configuré comme une CA locale auparavant et si des individus ont reçu des certificats signés par le Palo Alto lui-même. J’ai peut-être supprimé la CA locale par inadvertance en essayant de résoudre le problème du certificat externe qui ne fonctionne pas.
J’ai vu la question AND/OR mais je ne me sens pas à l’aise de la laisser sur OR. Je dois soit comprendre ces Certificats, soit utiliser une autre méthode MFA comme Duo.
Connectez-vous à l’interface administrateur et allez dans appareil → Certificats, si tous vos certificats clients y sont listés, alors le PA-220 est la CA et les émet, sinon ils proviennent d’une source externe (au pare-feu)
