Dépannage des certificats d'appareil

Vue d'ensemble

Lors de la configuration de l'authentification de l'appareil pour les clients SDP, des problèmes liés aux certificats peuvent survenir. Cet article couvre le dépannage de base des certificats d'appareil. Pour plus d'informations sur la fonctionnalité, voir Contrôle des appareils d'entreprise certifiés

Dépannage

Voici des étapes possibles de dépannage qui peuvent être suivies lors de l'investigation des problèmes de certificats d'appareil.

1. Comme mentionné dans Utiliser la politique de connectivité client pour gérer vos exigences d'authentification des appareils, le certificat de l'appareil par configuration du système d'exploitation doit être effectué à l'aide de la politique de connectivité client.

Sous Posture de l'appareil, vous pouvez créer des Vérifications de l'appareil pour les certificats (pris en charge sur ces versions client) installés sur l'appareil de l'utilisateur final. La vérification valide qu'il y a un certificat installé sur l'appareil qui correspond à l'un des certificats de signature définis pour le compte. Pour plus d'informations, voir Création d'une vérification de certificat d'appareil

Alternativement, si l'authentification de l'appareil est effectuée sous Accès au cloud -> Accès Client VPN -> Authentification de l'appareil, vérifiez que l'OS intéressant est listé comme requis et non comme bloqué.


cma-cert.png

 

2. Tous les certificats CA téléchargés sur CMA sont listés sous Accès -> Accès Client -> Authentification de l'appareil. Ce sont les certificats d'autorité de certification qui ont signé le certificat de l'appareil. En cliquant sur l'icône "Afficher les détails", les détails du certificat sont listés sous une forme lisible.


devauth2.png

 

3. Il est important de confirmer que le certificat CA n'est pas expiré. Si c'est le cas, le PoP permet la connexion uniquement si l'autorité de certification a signé le certificat de l'appareil avant qu'il n'expire. Pour les certificats d'appareil, Cato n'autorise pas un client à se connecter avec un certificat expiré. Pour plus d'informations, voir Gestion des certificats expirés

 

4. Une manière de s'assurer que les certificats CA nécessaires sont téléchargés sur CMA est de regarder la chaîne de certificats du client (chemin de certification). Dans cet exemple, le certificat client a été signé par le certificat intermédiaire avec "CN= Issuing CA Client", qui a ensuite été signé par le certificat racine avec "CN= Root CA". Cela doit correspondre aux certificats installés dans le CMA.

cert-chain__1_.png

 

5. Conformément à RFC3280, l'identifiant de clé de l'autorité du certificat client doit correspondre à l'identifiant de clé du sujet de l'émetteur (dans ce cas, le certificat intermédiaire). C'est une autre manière de confirmer que les certificats CA intermédiaire et racine corrects sont téléchargés sur CMA.


key_identifier__1_.png

 

6. Après s'être assuré que la configuration semble bonne et que le certificat est valide, on vérifiera que le certificat est présent sur le système d'exploitation du client.

Note : Pour plus d'informations sur la distribution des certificats, voir Distribution et installation de certificats d'appareil


Windows:

Dans Windows, les certificats de périphérique doivent être installés sur l'Ordinateur Local et non sous l'Utilisateur Actuel. Il existe deux façons de vérifier l'existence du certificat d'appareil :

  • Ouvrez l'invite de commande et tapez certutil -store My pour lister tous les certificats utilisateur disponibles sur l'appareil. Dans l'exemple ci-dessous, le premier émetteur de certificat correspond au sujet du certificat CA installé à l'étape #2. Si ce n'est pas le cas, le client n'a pas le certificat nécessaire sur l'appareil. Certutil est un outil très puissant qui peut être utilisé pour lister, révoquer ou renouveler des certificats. Vous pouvez trouver plus d'informations sur l'outil ici.

  • certutil peut également être utilisé pour installer le fichier de certificat PFX (p12) sur l'appareil en exécutant la commande ci-dessous. C'est la méthode recommandée pour installer le certificat sur les appareils Windows comme expliqué dans Distribution de certificats d'appareil aux appareils Windows.

    /certutil -csp "Microsoft Software Key Storage Provider" -importpfx My <path-to-p12-file> NoExport

  • Alternativement, vous pouvez vérifier les certificats installés sur l'appareil en tapant certlm.msc depuis le menu Démarrer de Windows. Cela affichera tous les certificats installés sur l'ordinateur local. Le certificat d'appareil doit être installé dans le dossier Personnel/Certificats de l'ordinateur local et inclure une clé privée que le fichier PFX devrait avoir installée.

 

MacOS et iOS :

macOS v5.3 et inférieur :

Vérifiez que le client macOS contient le profil de configuration précédemment distribué via MDM ou Apple Configurator. Le profil peut être trouvé dans les paramètres de confidentialité & sécurité pour macOS 13. Pour localiser le profil dans les anciennes versions de macOS, voir guide d'utilisateur macOS.

Toutes versions iOS :

Vérifiez que l'appareil iOS contient le profil de configuration précédemment distribué via MDM ou Apple Configurator. Le profil peut être trouvé sous Général > VPN & Gestion de l'appareil > profil de configuration pour iOS18. Pour localiser le profil dans les anciennes versions d'iOS, voir guide de l'utilisateur iOS.

 

Assurez-vous que le profil VPN est correctement configuré. La charge utile VPN doit être configurée selon le type d'appareil (macOS ou iOS) :

  • Type de Connexion : SSL Personnalisé

  • Identifiant :

    • Pour macOS :  com.catonetworks.mac.CatoClient 
    • Pour iOS :  CatoNetworks.CatoVPN 
  • Serveur : vpn.catonetworks.net
  • Compte : ajoutez votre nom de compte. Par exemple : CatoNetworksAccount.
    • Pour le client iOS v5.6 et supérieur : définissez le compte comme "CatoClientVPN."

  • Identifiant du paquet fournisseur :

    • Pour macOS : com.catonetworks.mac.CatoClient.CatoClientSysExtension
    • Pour iOS:  CatoNetworks.CatoVPN.CatoVPNNEExtenstion 
  • Exigence Désignée du Fournisseur : vide
  • Authentification des Utilisateurs : Certificat
  • Type de Fournisseur : Tunnel de Paquets
  • Identifiants : Choisissez le certificat dans la charge utile "Certificats"
  • Configuration du Proxy : Aucun

Pour obtenir des informations détaillées sur la configuration du profil VPN, voir Distribution de certificats d'appareil aux appareils macOS et iOS.

 

macOS v5.4 et supérieur :

À partir du client macOS v5.4, le certificat peut être installé directement sur l'appareil sans distribution MDM. Le certificat et la clé privée peuvent être trouvés dans l'accès au trousseau. 

Les certificats d'appareil peuvent être distribués aux appareils macOS comme expliqué dans Distribuer les certificats de périphérique et via Microsoft Active Directory en utilisant une CA d'entreprise Windows. Voir : Comment créer et déployer un certificat client pour les ordinateurs Mac indépendamment du gestionnaire de configuration

Le certificat d'utilisateur peut être trouvé dans la section de connexion de l'accès au trousseau :

  • Assurez-vous que le certificat est réglé sur 'Toujours faire confiance'.
  • Assurez-vous que le paramètre de contrôle d'accès de la clé privée permet à Cato Client ou 'Autoriser toutes les applications à accéder à cet élément'.

 

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 1 sur 3

0 commentaire