Cato vous permet d'imposer une authentification basée sur des certificats, garantissant que seuls les appareils de confiance peuvent se connecter à votre réseau sans se fier uniquement aux informations d'identification de l'utilisateur. Utilisez les certificats de signature dans les politiques d'accès pour gérer l'accès au réseau en fonction de l'installation du certificat sur l'appareil. Par exemple, vous pouvez créer un contrôle d'appareil par certificat qui impose la posture de l'appareil avec la politique de connectivité Client. La page des certificats de signature affiche les détails clés du certificat et vous permet d'ajouter de nouveaux certificats.
Pour plus d'informations sur l'installation de certificats, consultez les articles dans Distribution et installation des certificats d'appareil.
-
Le certificat que vous téléchargez sur le CMA doit répondre aux exigences suivantes :
-
Le fichier de certificat est au format PEM (encodé en base 64) avec l'extension .pem, par exemple : sign_cert.pem
-
Format X.509
-
Utiliser le chiffrement RSA
-
-
Le certificat que vous installez sur l'appareil doit inclure :
-
Inclure à la fois la clé publique et la clé privée
-
Correspondre à la chaîne de certificats du certificat téléchargé
-
(Appareils Windows) Installer le certificat dans le magasin de certificats personnels de la machine locale
-
(Appareils macOS) Assurez-vous que le Client Cato est autorisé à accéder à la clé privée du certificat
-
Téléchargez les certificats de signature dans le CMA pour les utiliser dans les politiques d'accès de votre compte.
Si le certificat téléchargé est invalide ou expiré, les appareils peuvent être bloqués de l'accès au réseau en fonction de vos paramètres de politique.
Pour télécharger un nouveau certificat de signature :
-
Dans le menu de navigation, sélectionnez Accès > Accès Client.
-
Dans la section Certificats de signature, cliquez sur Nouveau.
-
Entrez le Nom et cliquez sur Télécharger le certificat.
-
Sélectionnez le fichier certificat et téléchargez-le vers le CMA.
-
(Facultatif) Cliquez sur Afficher les détails pour voir les métadonnées du certificat.
Si une clé publique a expiré, le PoP permet la connexion uniquement si l'autorité a signé le certificat de l'appareil avant son expiration.
-
L'icône rouge sur le côté droit du certificat indique un certificat expiré
-
L'icône d'avertissement jaune indique qu'un certificat est sur le point d'expirer dans les 30 prochains jours
Cato génère des alertes pour une clé publique sur le point d'expirer :
-
30 jours avant que la clé publique ne soit sur le point d'expirer
-
À la date d'expiration du certificat
Pour les certificats de dispositif, Cato n'autorise pas un Client à se connecter avec un certificat expiré. Si un utilisateur essaie de se connecter avec un certificat d'appareil expiré, le Client notifie le PoP que le certificat a expiré et la connexion est bloquée.
Le PoP vérifie que le certificat est valide, puis autorise la connexion pour les Clients.
La page Événements montre ces événements avec la date d'expiration du certificat.
L'écran Événements (Accueil > Événements) vous aide à surveiller les événements pour les certificats expirés. Lorsque le Client Cato se connecte avec succès à un certificat de dispositif, Cato génère un événement avec les informations suivantes :
-
Nom du certificat Client - le nom du certificat de l'appareil utilisé pour la connexion
-
Expiration du certificat Client - la date d'expiration du certificat de l'appareil
Pour les événements de connexion échouée, la raison de l'échec est décrite dans le message de l'événement. Les échecs de connexion peuvent être causés par un mauvais émetteur ou un certificat expiré.
0 commentaire
Cet article n'accepte pas de commentaires.