उपकरण प्रमाणपत्र समस्या निवारण

अवलोकन

SDP क्लाइंट के लिए डिवाइस प्रमाणीकरण को कॉन्फ़िगर करते समय, प्रमाणपत्र-संबंधी समस्याएं हो सकती हैं। यह लेख बुनियादी डिवाइस प्रमाणपत्र समस्या निवारण को कवर करता है। इस सुविधा के बारे में अधिक जानकारी के लिए देखें प्रमाणित कॉर्पोरेट उपकरणों को नियंत्रित करना

समस्या निवारण

निम्नलिखित संभावित समस्या निवारण कदम हैं जिन्हें डिवाइस प्रमाणपत्र समस्याओं की जांच करते समय उठाया जा सकता है।

1. जैसा कि अपने डिवाइस प्रमाणीकरण आवश्यकताओं को प्रबंधित करने के लिए क्लाइंट कनेक्टिविटी नीति का उपयोग करें में उल्लेख किया गया है, प्रत्येक ऑपरेटिंग सिस्टम कॉन्फ़िगरेशन के लिए डिवाइस प्रमाणपत्र को क्लाइंट कनेक्टिविटी नीति का उपयोग करके किया जाना चाहिए।

डिवाइस पोस्टर के तहत, आप प्रमाणपत्रों के लिए डिवाइस चेक बना सकते हैं (इन क्लाइंट संस्करणों पर समर्थित) जो अंतिम उपयोगकर्ता उपकरण पर स्थापित होते हैं। यह जाँच यह सत्यापित करती है कि उपकरण पर एक प्रमाणपत्र स्थापित है जो खाते के लिए परिभाषित डिवाइस प्रमाणपत्र में से किसी एक से मेल खाता है। अधिक जानकारी के लिए, देखें एक डिवाइस प्रमाणपत्र डिवाइस चेक बनाना

वैकल्पिक रूप से, यदि डिवाइस प्रमाणीकरण Access -> Client Access -> Device Authentication के तहत किया गया है, तो सुनिश्चित करें कि आवश्यक ऑपरेटिंग सिस्टम आवश्यकता के रूप में सूचीबद्ध है और अवरुद्ध नहीं है।

2. CMA में अपलोड किए गए सभी CA प्रमाणपत्र पहुंच -> क्लाइंट एक्सेस -> डिवाइस प्रमाणीकरण के तहत सूचीबद्ध हैं। ये प्रमाणपत्र प्राधिकरण प्रमाणपत्र हैं जिन्होंने डिवाइस प्रमाणपत्र पर हस्ताक्षर किए। "विवरण दिखाएं" आइकन पर क्लिक करने से प्रमाणपत्र विवरण पठनीय रूप में सूचीबद्ध होते हैं।

3. यह पुष्टि करना महत्वपूर्ण है कि CA प्रमाणपत्र समाप्त नहीं हुआ है। यदि यह है, तो PoP केवल उन्ही कनेक्शन की अनुमति देगा जो प्रमाणपत्र प्राधिकरण ने डिवाइस प्रमाणपत्र समाप्त होने से पहले हस्ताक्षर किए हैं। उपकरण प्रमाणपत्रों के लिए, Cato समाप्त प्रमाणपत्र के साथ क्लाइंट को कनेक्ट करने की अनुमति नहीं देता। अधिक जानकारी के लिए, देखें समाप्त प्रमाणपत्रों को संभालना

4. आवश्यक CA प्रमाणपत्र CMA में अपलोड किए गए हैं यह सुनिश्चित करने का एक तरीका है कि क्लाइंट प्रमाणपत्र शृंखला (प्रमाणन मार्ग) को देखें। इस उदाहरण में, क्लाइंट प्रमाणपत्र को "CN= Issuing CA Client" के साथ अंतर प्रमाणपत्र द्वारा हस्ताक्षरित किया गया था, जिसे बदले में "CN= Root CA" के साथ रूट प्रमाणपत्र द्वारा हस्ताक्षरित किया गया था। इनका CMA में स्थापित प्रमाणपत्रों से मिलान होना चाहिए।

5. RFC3280 के अनुसार, क्लाइंट प्रमाणपत्र के प्राधिकरण कुंजी पहचानकर्ता को जारीकर्ता के विषय कुंजी पहचानकर्ता से मेल खाना चाहिए (इस मामले में, इंटरमीडिएट प्रमाणपत्र)। यह पुष्टि करने का यह एक और तरीका है कि सही मध्यवर्ती और रूट CA प्रमाणपत्र CMA में अपलोड किए गए हैं।

6. हम पुष्टि करने के बाद कि विन्यास अच्छा लगता है और प्रमाणपत्र वैध है, हम यह सुनिश्चित करेंगे कि प्रमाणपत्र क्लाइंट के ऑपरेटिंग सिस्टम में मौजूद है।

नोट: प्रमाणपत्र वितरण के बारे में अधिक जानकारी के लिए, डिवाइस प्रमाणपत्रों का वितरण और स्थापना देखें

विंडोज:

विंडोज में, डिवाइस प्रमाणपत्र को स्थानीय कंप्यूटर पर स्थापित किया जाना चाहिए और वर्तमान उपयोगकर्ता के तहत नहीं। डिवाइस प्रमाणपत्र की उपस्थिति को सत्यापित करने के दो तरीके हैं:

• कमांड प्रॉम्प्ट खोलें और डिवाइस पर सभी उपलब्ध उपयोगकर्ता प्रमाणपत्रों की सूची देखने के लिए certutil -store My टाइप करें। नीचे दिए गए उदाहरण में, पहला प्रमाणपत्र जारीकर्ता CA प्रमाणपत्र के विषय के रूप में मेल खाता है जो चरण #2 में स्थापित है। यदि ऐसा नहीं है, तो क्लाइंट के पास डिवाइस पर आवश्यक प्रमाणपत्र नहीं है। 
  Certutil एक बहुत ही शक्तिशाली उपकरण है जिसका उपयोग प्रमाणपत्रों की सूची, निरसन या नवीनीकरण करने के लिए किया जा सकता है। आप इस उपकरण के बारे में अधिक जानकारी यहां पा सकते हैं।

• certutil का उपयोग नीचे दिए गए कमांड को चलाकर डिवाइस पर PFX (p12) प्रमाणपत्र फ़ाइल स्थापित करने के लिए भी किया जा सकता है। जैसा कि विंडोज उपकरणों पर डिवाइस प्रमाणपत्र वितरित करना में बताया गया है, यह विंडोज उपकरणों पर प्रमाणपत्र स्थापित करने का अनुशंसित तरीका है।

  /certutil -csp "Microsoft Software Key Storage Provider" -importpfx My <path-to-p12-file> NoExport

• इसके अतिरिक्त, आप विंडोज स्टार्ट मेनू से certlm.msc टाइप करके डिवाइस पर स्थापित प्रमाणपत्रों को सत्यापित कर सकते हैं। यह सभी स्थानीय कंप्यूटर पर स्थापित प्रमाणपत्रों को दिखाएगा। डिवाइस प्रमाणपत्र को स्थानीय कंप्यूटर के निजी/प्रमाणपत्र फ़ोल्डर के तहत स्थापित किया जाना चाहिए और इसमें एक निजी कुंजी शामिल होनी चाहिए जो PFX फ़ाइल ने स्थापित की थी।

MacOS और iOS:

macOS v5.3 और नीचे:

सुनिश्चित करें कि macOS क्लाइंट में वह कॉन्फ़िगरेशन प्रोफ़ाइल शामिल है जो पहले MDM या Apple Configurator के माध्यम से वितरित की गई थी। प्रोफ़ाइल को macOS 13 की गोपनीयता & सुरक्षा सेटिंग्स में पाया जा सकता है। पुराने macOS संस्करणों में प्रोफ़ाइल खोजने के लिए, देखें macOS उपयोगकर्ता मार्गदर्शिका।

किसी भी iOS संस्करण:

सुनिश्चित करें कि iOS डिवाइस में वह कॉन्फ़िगरेशन प्रोफ़ाइल शामिल है जो पहले MDM या Apple Configurator के माध्यम से वितरित की गई थी। प्रोफ़ाइल को सामान्य > VPN & डिवाइस प्रबंधन > iOS18 के लिए कॉन्फ़िगरेशन प्रोफ़ाइल में पाया जा सकता है। पुराने iOS संस्करणों में प्रोफ़ाइल खोजने के लिए, देखें iOS उपयोगकर्ता मार्गदर्शिका।

सुनिश्चित करें कि वीपीएन प्रोफ़ाइल सही ढंग से कॉन्फ़िगर की गई है। डिवाइस प्रकार (macOS या iOS) के अनुसार VPN लोड को कॉन्फ़िगर किया जाना चाहिए:

• कनेक्शन प्रकार: कस्टम SSL

• पहचानकर्ता:

  • macOS के लिए:  com.catonetworks.mac.CatoClient 
  • iOS के लिए:  CatoNetworks.CatoVPN 
• सर्वर: vpn.catonetworks.net
• खाता: अपना खाता नाम जोड़ें। उदाहरण के लिए: CatoNetworksAccount।
  • iOS क्लाइंट v5.6 और उससे ऊपर के लिए: खाता "CatoClientVPN" के रूप में सेट करें।

• प्रदाता पहचानकर्ता:

  • macOS के लिए: com.catonetworks.mac.CatoClient.CatoClientSysExtension
  • के लिए iOS: CatoNetworks.CatoVPN.CatoVPNNEExtenstion 
• प्रदाता निर्दिष्ट आवश्यकता: खाली
• उपयोगकर्ता प्रमाणीकरण: प्रमाणपत्र
• प्रदाता प्रकार: पैकेट टनल
• प्रमाण पत्र: ‘प्रमाण पत्र’ पेलोड से प्रमाणपत्र चुनें
• प्रॉक्सी सेटअप: कोई नहीं

VPN प्रोफाइल कॉन्फ़िगरेशन पर विस्तृत जानकारी के लिए, देखें macOS और iOS उपकरण पर डिवाइस प्रमाणपत्र वितरित करना।

macOS v5.4 और उससे ऊपर:

macOS क्लाइंट v5.4 से शुरू हो रहा है, प्रमाणपत्र बिना MDM वितरण के सीधे उपकरण पर स्थापित किया जा सकता है। प्रमाणपत्र और निजी कुंजी कीचेइन एक्सेस में पाई जा सकती है। 

डिवाइस प्रमाणपत्र macOS उपकरण पर वितरित किए जा सकते हैं जैसे कि डिवाइस प्रमाणपत्र वितरित करना में बताया गया है और Microsoft Active Directory के माध्यम से विंडोज एंटरप्राइज CA के उपयोग द्वारा। देखें: मैक कंप्यूटरों के लिए एक क्लाइंट प्रमाणपत्र कैसे बनाएं और तैनात करें 

उपयोगकर्ता प्रमाणपत्र लॉगिन अनुभाग के तहत कीचेइन एक्सेस में मिल सकता है:

• सुनिश्चित करें कि प्रमाणपत्र सदा भरोसा पर सेट है।
• सुनिश्चित करें कि निजी कुंजी की पहुँच नियंत्रण सेटिंग Cato क्लाइंट या 'सभी एप्लिकेशनों को इस आइटम तक पहुँचने की अनुमति दें' को अनुमति देती है।