Problemas de Solución de Certificado de Dispositivo

Visión general

Cuando configure la Autenticación de Dispositivos para clientes SDP, pueden ocurrir problemas relacionados con el certificado. Este artículo cubre la resolución de problemas básicos de certificados de dispositivos. Para más información sobre la función, consulte Controlando Dispositivos Corporativos Certificados

Solución de problemas

A continuación se presentan posibles pasos para resolver problemas que se pueden tomar al investigar problemas de certificados de dispositivos.

1. Como se menciona en Use la Política de Conectividad del Cliente para Gestionar sus Requisitos de Autenticación de Dispositivos, el certificado del dispositivo por configuración de SO debe realizarse utilizando la Política de Conectividad del Cliente.

Bajo la Postura del Dispositivo, puede crear Verificaciones de Dispositivo para certificados (compatible con estas versiones del Cliente) que se instalan en el dispositivo del usuario final. La verificación valida que hay un certificado instalado en el dispositivo que coincide con uno de los certificados de firma definidos para la cuenta. Para más información, consulte Creando una Verificación de Certificado de Dispositivo

Alternativamente, si la Autenticación de Dispositivos se realiza bajo Acceso a la nube -> Acceso de Cliente VPN -> Autenticación de Dispositivos, verifique que el Sistema Operativo interesante esté listado como requerido y no como bloqueado.


cma-cert.png

 

2. Todos los certificados de CA subidos a CMA se listan bajo Access -> Client Access -> Autenticación de Dispositivos. Estos son certificados de Autoridad de Certificación que firmaron el certificado del dispositivo. Al hacer clic en el ícono "Mostrar detalles", se listan los detalles del certificado en forma legible.


devauth2.png

 

3. Es importante confirmar que el certificado de CA no esté expirado. Si es así, el PoP permite la conexión solo si la autoridad de certificación firmó el certificado del dispositivo antes de que expirara. Para certificados de dispositivos, Cato no permite que un Cliente se conecte con un certificado expirado. Para más información, consulte Manejo de Certificados Expirados

 

4. Una forma de asegurar que los certificados de CA necesarios se suban a CMA es mirar la cadena de certificados del cliente (ruta de certificación). En este ejemplo, el certificado de cliente fue firmado por el certificado intermedio con "CN= Issuing CA Client", que a su vez fue firmado por el certificado raíz con "CN= Root CA". Estos deben coincidir con los certificados instalados en CMA.

cert-chain__1_.png

 

5. Según RFC3280, el Identificador de Clave de Autoridad del certificado de cliente debe coincidir con el Identificador de Clave de Asunto del emisor (en este caso, el Certificado Intermedio). Esta es otra manera de confirmar que los certificados de CA intermedio y raíz correctos se suben a CMA.


key_identifier__1_.png

 

6. Después de asegurarnos de que la configuración se vea bien y que el certificado sea válido, verificaremos que el certificado esté presente en el SO del cliente.

Nota: Para más información sobre la distribución de certificados, consulte Distribución e Instalación de Certificados de Dispositivo


Windows:

En Windows, los certificados de dispositivo deben instalarse en el Equipo Local y no bajo el Usuario Actual. Hay dos formas de verificar la existencia del certificado del dispositivo:

  • Abra el símbolo del sistema y escriba certutil -store My para listar todos los certificados de usuario disponibles en el dispositivo. En el ejemplo a continuación, el primer emisor del certificado coincide con el asunto del certificado CA instalado en el paso n.º 2. Si no es así, el cliente no tiene el certificado necesario en el dispositivo. Certutil es una herramienta muy poderosa que se puede usar para listar, revocar o renovar certificados. Puede encontrar más información sobre la herramienta aquí.

  • certutil también se puede usar para instalar el archivo de certificado PFX (p12) en el dispositivo ejecutando el comando a continuación. Esta es la forma recomendada de instalar el certificado en dispositivos Windows como se explica en Distribución de Certificados de Dispositivo a Dispositivos Windows.

    /certutil -csp "Microsoft Software Key Storage Provider" -importpfx My <path-to-p12-file> NoExport

  • Alternativamente, puede verificar los certificados instalados en el dispositivo escribiendo certlm.msc desde el Menú de Inicio de Windows. Esto mostrará todos los certificados instalados en el Equipo Local. El certificado del dispositivo debe instalarse en la Carpeta Personal/Certificados del Equipo Local e incluir una clave privada que el archivo PFX debería haber instalado.

 

MacOS y iOS:

macOS v5.3 y versiones anteriores:

Verifique que el cliente macOS contenga el perfil de configuración previamente distribuido a través de MDM o Apple Configurator. El perfil se puede encontrar en la Configuración de Privacidad & Seguridad para macOS 13. Para localizar el perfil en versiones anteriores de macOS, consulte guía del usuario de macOS.

Cualquier versión de iOS:

Verifique que el dispositivo iOS contenga el perfil de configuración previamente distribuido a través de MDM o Apple Configurator. El perfil se puede encontrar bajo General > VPN & Gestión de Dispositivos > perfil de configuración para iOS18. Para localizar el perfil en versiones anteriores de iOS, consulte guía del usuario de iOS.

 

Asegúrese de que el perfil VPN esté configurado correctamente. La carga útil de VPN debe configurarse según el tipo de dispositivo (macOS o iOS):

  • Tipo de Conexión: SSL Personalizado

  • Identificador:

    • Para macOS:  com.catonetworks.mac.CatoClient 
    • Para iOS:  CatoNetworks.CatoVPN 
  • Servidor: vpn.catonetworks.net
  • Cuenta: agregue el nombre de su cuenta. Por ejemplo: CatoNetworksAccount.
    • Para iOS Cliente v5.6 y superior: establezca la cuenta como "CatoClientVPN."

  • Identificador del Paquete del Proveedor:

    • Para macOS: com.catonetworks.mac.CatoClient.CatoClientSysExtension
    • Para iOS:  CatoNetworks.CatoVPN.CatoVPNNEExtenstion 
  • Requisito Designado del Proveedor: vacío
  • Autenticaciones de Usuario: Certificado
  • Tipo de Proveedor: Túnel de Paquetes
  • Credenciales: Elija el certificado de la carga útil ‘Certificados’
  • Configuración de Proxy: Ninguno

Para información detallada sobre la configuración del perfil VPN, consulte Distribución de Certificados de Dispositivo a Dispositivos macOS y iOS.

 

macOS v5.4 y superiores:

A partir del Cliente macOS v5.4, el certificado se puede instalar directamente en el dispositivo sin distribución MDM. El certificado y la clave privada se pueden encontrar en Acceso a Llaveros. 

Los certificados de dispositivo se pueden distribuir a dispositivos macOS como se explica en Distribuyendo Certificados de Dispositivo y a través de Microsoft Active Directory usando una CA Empresarial de Windows. Vea: Cómo Crear y Desplegar un Certificado de Cliente para Computadoras Mac Independientemente del Administrador de Configuración

El certificado de usuario se puede encontrar en la sección de inicio de sesión en Acceso a Llaveros:

  • Asegúrese de que el certificado esté configurado para "Siempre Confiar".
  • Asegúrese de que la configuración de control de acceso de la clave privada permita al Cliente Cato o "Permitir a todas las aplicaciones acceder a este elemento".

 

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 1 de 3

0 comentarios