সারসংক্ষেপ
SDP ক্লায়েন্টের জন্য ডিভাইস প্রমাণীকরণ কনফিগার করার সময় সার্টিফিকেট-সম্পর্কিত সমস্যা হতে পারে। এই নিবন্ধটি মৌলিক ডিভাইস সার্টিফিকেট ট্রাবলশুটিং কভার করে। এই বৈশিষ্ট্যের বিষয়ে আরও তথ্যের জন্য দেখুন প্রত্যয়িত কর্পোরেট ডিভাইস নিয়ন্ত্রণ করা
সমস্যা সমাধান
নিম্নলিখিতগুলি হল সম্ভাব্য সমস্যা সমাধানের পদক্ষেপ যা ডিভাইস সার্টিফিকেট সমস্যাগুলি তদন্ত করার সময় নেওয়া যেতে পারে।
1. আপনার ডিভাইস প্রমাণীকরণ প্রয়োজনীয়তাগুলি পরিচালনা করতে ক্লায়েন্ট কানেক্টিভিটি নীতি ব্যবহার করুন এ উল্লেখ করা হয়েছে, প্রতিটি OS কনফিগারেশনের জন্য ডিভাইস সার্টিফিকেট ক্লায়েন্ট কানেক্টিভিটি নীতি ব্যবহার করে করা উচিত।
ডিভাইস অবস্থা অধীনে, আপনি সার্টিফিকেটের জন্য ডিভাইস পরীক্ষা তৈরি করতে পারেন (এই ক্লায়েন্ট সংস্করণগুলিতে সমর্থিত) যেগুলি শেষ ব্যবহার ডিভাইসে ইনস্টল করা হয়েছে। এই পরীক্ষা নিশ্চিত করে যে ডিভাইসে একটি সার্টিফিকেট ইনস্টল করা হয়েছে যা অ্যাকাউন্টের জন্য নির্ধারিত ডিভাইস সার্টিফিকেট এর মধ্যে একটি মেলে। অধিক তথ্যের জন্য দেখুন একটি ডিভাইস সার্টিফিকেট ডিভাইস পরীক্ষা তৈরি করা
2. সব CA সার্টিফিকেট CMA তে আপলোড করা হয়েছে ক্লায়েন্ট অ্যাক্সেস ->সাইনিং সার্টিফিকেট অধীনে তালিকাভুক্ত। এগুলি হল সার্টিফিকেট অথরিটি সার্টিফিকেট যা ডিভাইস সার্টিফিকেটে স্বাক্ষর করেছে। "বিস্তারিত দেখান" আইকনে ক্লিক করলে সার্টিফিকেটের বিস্তারিত পাঠযোগ্য ফর্মে তালিকাভুক্ত হয়।
3. CA সার্টিফিকেটটির মেয়াদ শেষ হয়নি তা নিশ্চিত করা গুরুত্বপূর্ণ। যদি হয়, PoP শুধুমাত্র সংযোগ অনুমতি দেয় যদি সার্টিফিকেট অথরিটি ডিভাইস সার্টিফিকেটের মেয়াদ শেষ হওয়ার আগে স্বাক্ষর করে। ডিভাইস সার্টিফিকেটের জন্য, Cato ক্লায়েন্টকে একটি মেয়াদোত্তীর্ণ সার্টিফিকেট দিয়ে সংযোগ করতে দেয় না। অধিক তথ্যের জন্য, দেখুন মেয়াদোত্তীর্ণ সার্টিফিকেটগুলি পরিচালনা করা
4. প্রয়োজনীয় CA সার্টিফিকেটগুলি CMA তে আপলোড করা হয়েছে তা নিশ্চিত করার একটি উপায় হল ক্লায়েন্ট সার্টিফিকেট চেইন (প্রমাণীকরণ পথ) দেখা। এই উদাহরণে, ক্লায়েন্ট সার্টিফিকেট "CN= Issuing CA Client" দ্বারা ইন্টারমিডিয়েট সার্টিফিকেট দ্বারা স্বাক্ষরিত হয়েছিল, যা পালাক্রমে "CN= Root CA" দ্বারা রুট সার্টিফিকেট দ্বারা স্বাক্ষরিত হয়েছিল। এগুলি CMAতে ইনস্টল করা সার্টিফিকেটগুলির সাথে মিলতে হবে।
5. RFC3280 অনুযায়ী, ক্লায়েন্ট সার্টিফিকেটের অথরিটি কী পরিচিতি জারিকারকের বিষয় কী পরিচিতি (এই ক্ষেত্রে, ইন্টারমিডিয়েট সার্টিফিকেট) এর সাথে মিলতে হবে। এটি নিশ্চিত করার আরেকটি উপায় যে সঠিক মধ্যবর্তী এবং মূল CA সার্টিফিকেটগুলি CMA-তে আপলোড করা হয়েছে।
6. আমরা নিশ্চিত হওয়ার পর যে কনফিগারেশনটি ভাল দেখাচ্ছে এবং সার্টিফিকেটটি বৈধ, আমরা যাচাই করব যে সার্টিফিকেটটি ক্লায়েন্টের OS-এ উপস্থিত আছে।
নোট: সার্টিফিকেট বিতরণের বিষয়ে আরও তথ্যের জন্য, ডিভাইস সার্টিফিকেট বিতরণ এবং ইনস্টল করা দেখুন
উইন্ডোজ:
Windows-এ, ডিভাইস সার্টিফিকেটগুলি অবশ্যই লোকাল কম্পিউটার এর অধীনে ইনস্টল করতে হবে এবং বর্তমান ব্যবহারকারীর অধীনে নয়। ডিভাইস সার্টিফিকেটের অস্তিত্ব যাচাই করার দুটি উপায় রয়েছে:
- কমান্ড প্রম্পট খুলুন এবং certutil -store My টাইপ করুন যাতে ডিভাইসের সমস্ত উপলব্ধ ব্যবহারকারী সার্টিফিকেট তালিকাভুক্ত করা যায়। নিচের উদাহরণে, প্রথম সার্টিফিকেট জারিকারক ইনস্টল করা CA সার্টিফিকেটের বিষয়ে পদক্ষেপ #2 এ মিল করে। যদি এটি না হয়, তবে ক্লায়েন্টের ডিভাইসে প্রয়োজনীয় সার্টিফিকেট নেই। Certutil একটি অত্যন্ত শক্তিশালী টুল যা তালিকাভুক্ত করা, প্রত্যাহার বা সার্টিফিকেট নবায়ন করার জন্য ব্যবহার করা যেতে পারে। এখানে সরঞ্জামটির বিষয়ে আরও তথ্য পেতে পারেন।
-
certutil নিচের কমান্ড রান করে ডিভাইসে PFX (p12) সার্টিফিকেট ফাইল ইনস্টল করতে ব্যবহার করা যেতে পারে। এটি উইন্ডোজ ডিভাইসে সার্টিফিকেট ইনস্টল করার জন্য প্রস্তাবিত উপায় যেমন ব্যাখ্যা করা হয়েছে উইন্ডোজ ডিভাইসে ডিভাইস সার্টিফিকেট বিতরণ করা।
/certutil -csp "Microsoft Software Key Storage Provider" -importpfx My <path-to-p12-file> NoExport - অন্যভাবে, আপনি উইন্ডোজ স্টার্ট মেনু থেকে certlm.msc টাইপ করে ডিভাইসে ইনস্টল করা সার্টিফিকেটগুলো যাচাই করতে পারেন। এটি লোকাল কম্পিউটার এ ইনস্টল করা সব সার্টিফিকেট দেখাবে। ডিভাইস সার্টিফিকেট অবশ্যই লোকাল কম্পিউটারের ব্যক্তিগত/সার্টিফিকেট ফোল্ডারের অধীনে ইনস্টল করতে হবে এবং একটি ব্যক্তিগত কী অন্তর্ভুক্ত করবে যা PFX ফাইল ইনস্টল করা উচিত ছিল।
MacOS এবং iOS:
যেকোনো iOS সংস্করণ:
যাচাই করুন যে iOS ডিভাইসে পূর্বে MDM বা অ্যাপল কনফিগুরেটর দ্বারা বিতরণ করা কনফিগারেশন প্রোফাইল অন্তর্ভুক্ত আছে। প্রোফাইলটি সাধারণ > VPN & ডিভাইস ব্যবস্থাপনা > iOS18 এর জন্য কনফিগারেশন প্রোফাইলে পাওয়া যাবে। পুরোনো iOS সংস্করণে প্রোফাইলটি খুঁজতে দেখুন iOS ব্যবহারকারী গাইড।
নিশ্চিত করুন যে VPN প্রোফাইল সঠিকভাবে কনফিগার করা হয়েছে। VPN পেওল্ড ডিভাইসের ধরন অনুযায়ী (macOS বা iOS) কনফিগার করা উচিত:
- সংযোগের ধরন: কাস্টম SSL
-
পরিচিতি:
- macOS এর জন্য: com.catonetworks.mac.CatoClient
- iOS এর জন্য: CatoNetworks.CatoVPN
- সার্ভার: vpn.catonetworks.net
-
অ্যাকাউন্ট: আপনার অ্যাকাউন্টের নাম যুক্ত করুন। উদাহরণস্বরূপ: CatoNetworksAccount।
- iOS ক্লায়েন্ট v5.6 এবং তার উপরে জন্য: অ্যাকাউন্টটি "CatoClientVPN" হিসাবে সেট করুন।
-
প্রদানকারী বান্ডিল পরিচিতি:
- macOS এর জন্য: com.catonetworks.mac.CatoClient.CatoClientSysExtension
- iOS এর জন্য: CatoNetworks.CatoVPN.CatoVPNNEExtenstion
- প্রদানকারী নির্ধারিত প্রয়োজনীয়তা: খালি
- ব্যবহারকারী প্রমাণীকরণ: সার্টিফিকেট
- প্রদানকারী ধরন: প্যাকেট টানেল
- ক্রেডেনশিয়াল: ‘Certificates’ payload থেকে সার্টিফিকেট বেছে নিন
- প্রক্সি সেটআপ: কোনো না
VPN প্রোফাইল কনফিগারেশনের বিস্তারিত তথ্যের জন্য, macOS এবং iOS ডিভাইসে ডিভাইস সার্টিফিকেট বিতরণ করা দেখুন।
macOS v5.4 এবং এর উর্ধ্বতন:
macOS ক্লায়েন্ট v5.4 থেকে শুরু, MDM বিতরণ ছাড়াই সরাসরি ডিভাইসে সার্টিফিকেট ইনস্টল করা যেতে পারে। সার্টিফিকেট এবং ব্যক্তিগত কী ‘Keychain Access’ এ পাওয়া যাবে।
ডিভাইস সার্টিফিকেট ডিভাইস সার্টিফিকেট বিতরণতে বর্ণিত হিসাবে macOS ডিভাইসে বিতরণ করা যেতে পারে এবং Microsoft Active Directory ব্যবহার করে উইন্ডোজ এন্টারপ্রাইজ CA মাধ্যমে। দেখুন: কনফিগারেশন ম্যানেজার থেকে স্বাধীনভাবে ম্যাক কম্পিউটারের জন্য একটি ক্লায়েন্ট সার্টিফিকেট তৈরি এবং মোতায়েন কীভাবে করবেন
ব্যবহারকারী সার্টিফিকেটটি কীচেইন অ্যাক্সেসের লোগিন সেকশনের অধীনে পাওয়া যাবে:
- সুনিশ্চিত করুন যে সার্টিফিকেটটি 'সবসময় বিশ্বাস’ এ সেট করা আছে।
- সুনিশ্চিত করুন যে বেসরকারি কী-এর অ্যাক্সেস নিয়ন্ত্রণ সেটিংস ক্যাটো ক্লায়েন্ট অথবা 'এই আইটেমটি সমস্ত অ্যাপ্লিকেশনসমূহ অ্যাক্সেস করতে অনুমতি দিন' এর জন্য অনুমতি দেয়।
OID যাচাই
OID যাচাই অ্যাকাউন্টের উন্নত কনফিগারেশন এ কনফিগার করা হয়েছে। কনফিগারেশনটি সার্টিফিকেট এক্সটেনশন (OID) পরীক্ষা করার জন্য নির্দিষ্ট করে এবং এক বা একাধিক গৃহীত মান।
ডিফল্ট অনুযায়ী, OID যাচাই নিষ্ক্রিয়। আপনি OID যাচাই অ্যাকাউন্টের জন্য উন্নত কনফিগারেশন নিয়ে কাজ করা নিবন্ধে বর্ণিত ফর্ম্যাট ব্যবহার করে কনফিগার করতে পারেন। নিচের উদাহরণটি পরীক্ষা করে যে সার্টিফিকেটে সার্টিফিকেট টেম্পলেট ইনফরমেশন এক্সটেনশন (1.3.6.1.4.1.311.21.7) অন্তর্ভুক্ত আছে এবং দুটি গৃহীত মানের মধ্যে একটি অন্তর্ভুক্ত করে:
cert_ext_obj(cert, "1.3.6.1.4.1.311.21.7") == "1.3.6.1.4.1.67291.458.7;1.3.6.1.4.1.58472.73142.918.5"
ক্লায়েন্ট সাইডে, যাচাই করুন প্রয়োজনীয় OID ক্লায়েন্ট সার্টিফিকেটে উপস্থিত:
- উইন্ডোজে, উইন্ডোজ সার্টিফিকেট ম্যানেজার নিশ্চিত করবে যে প্রয়োজনীয় OID এক্সটেনশন উপস্থিত এবং অনুমিত মূল্যগুলির যে কোনো একটি অন্তর্ভুক্ত করে। "certutil -v -store My" কমান্ডটি সার্টিফিকেট সম্পর্কে বিশদ তথ্য প্রদান করবে, যেখানে তার OID মান অন্তর্ভুক্ত।
- macOS এ, কিচেন অ্যাক্সেস বা উপযুক্ত সার্টিফিকেট পরিদর্শন সরঞ্জাম ব্যবহার করুন সার্টিফিকেট এক্সটেনশনগুলি দেখার জন্য।
নিচের certutil আউটপুটটি সার্টিফিকেট এক্সটেনশন OID এবং তার সংশিষ্ট টেম্পলেট তথ্য দেখায়:
সার্টিফিকেট এক্সটেনশনগুলি:
1.3.6.1.4.1.311.21.7: ফ্ল্যাগস = 0, দৈর্ঘ্য = 30
সার্টিফিকেট টেম্পলেট তথ্য
টেম্পলেট=1.3.6.1.4.1.58472.73142.918.5
প্রধান সংস্করণ সংখ্যা=100
প্রথম সংস্করণ সংখ্যা=36
0 মন্তব্য
একটি মন্তব্য করার জন্য সাইন ইন করুন করুন।