Cato te permite aplicar autenticación basada en certificados, asegurando que solo dispositivos confiables pueden conectarse a tu red sin depender únicamente de las credenciales del usuario. Usa los certificados de firma en políticas de acceso para gestionar el acceso a la red basado en si el certificado está instalado en el dispositivo. Por ejemplo, puedes crear una verificación de dispositivos por certificado que aplica la postura del dispositivo con la Política de Conectividad del Cliente. La página de Certificados de Firma muestra detalles clave del certificado y te permite agregar nuevos certificados.
Para más información sobre la instalación de certificados, consulta los artículos en Distribución e Instalación de Certificados de Dispositivo.
-
El certificado que subas al CMA debe cumplir con los siguientes requisitos:
-
El archivo de certificado es formato PEM (codificado en base 64) con la extensión .pem, como: sign_cert.pem
-
Formato X.509
-
Utilizar cifrado RSA
-
-
El certificado que instales en el dispositivo debe incluir:
-
Incluir tanto la clave pública como la privada
-
Coincidir con la cadena de certificados del certificado subido
-
(Dispositivos Windows) Instala el certificado en el Almacén de Certificados Personales de la Máquina Local
-
(Dispositivos macOS) Asegúrate de que el Cliente de Cato tenga permiso para acceder a la clave privada del certificado
-
Sube certificados de firma en el CMA para usarlos en políticas de acceso para tu cuenta.
Si el certificado subido es inválido o ha expirado, los dispositivos pueden ser bloqueados para acceder a la red según tus configuraciones de política.
Para subir un nuevo certificado de firma:
-
Desde el menú de navegación, selecciona Acceso > Acceso de Cliente.
-
En la sección de Certificados de Firma, haz clic en Nuevo.
-
Introduce el Nombre y haz clic en Subir Certificado.
-
Selecciona el archivo del certificado y súbelo al CMA.
-
(Opcional) Haz clic en Mostrar Detalles para ver los metadatos del certificado.
Si una clave pública ha expirado, el PoP permite la conexión solo si la autoridad firmó el certificado del dispositivo antes de que expirara.
-
El ícono rojo en el lado derecho del certificado indica un certificado expirado
-
El ícono amarillo de advertencia indica que un certificado está a punto de expirar dentro de los próximos 30 días
Cato genera alertas para una clave pública próxima a expirar:
-
30 días antes de que la clave pública vaya a expirar
-
En la fecha de expiración del certificado
Para los certificados de dispositivo, Cato no permite que un Cliente se conecte con un certificado expirado. Si un usuario intenta conectarse con un certificado de dispositivo expirado, el Cliente notifica al PoP que el certificado ha expirado, y la conexión se bloquea.
El PoP verifica que el certificado sea válido y luego permite la conexión para los Clientes.
La página de eventos muestra estos eventos con la fecha de expiración del certificado.
La pantalla de eventos (Inicio > Eventos) te ayuda a monitorear los eventos de certificados expirados. Cuando el Cliente de Cato se conecta correctamente con un certificado de dispositivo, Cato genera un evento con la siguiente información:
-
Nombre del Certificado del Cliente – nombre del certificado de dispositivo usado para la conexión
-
Certificado del Cliente Expira – la fecha de expiración del certificado de dispositivo
Para eventos de conexión fallida, la razón de la falla se describe en el mensaje del evento. Las fallas de conexión pueden ser causadas por un emisor incorrecto o un certificado expirado.
0 comentarios
El artículo está cerrado para comentarios.