O Cato permite que você imponha autenticação baseada em certificado, garantindo que apenas dispositivos confiáveis possam conectar-se à sua rede sem depender apenas das credenciais do usuário. Use os certificados de assinatura em políticas de acesso para gerenciar o acesso à rede baseado na instalação do certificado no dispositivo. Por exemplo, você pode criar uma verificação de Certificado de Dispositivo que impõe a postura do dispositivo com a Política de Conectividade do Cliente. A página de Certificados de Assinatura mostra os detalhes chave dos certificados e permite que você adicione novos certificados.
Para mais informações sobre a instalação de certificados, consulte os artigos em Distribuição e Instalação de Certificados de Dispositivo.
-
O certificado que você carregar para o CMA deve atender aos seguintes requisitos:
-
O arquivo do certificado está em formato PEM (codificado em base 64) com a extensão .pem, como: sign_cert.pem
-
Formato X.509
-
Use criptografia RSA
-
-
O certificado que você instala no dispositivo deve incluir:
-
Incluir tanto a chave pública quanto a privada
-
Corresponder à cadeia de certificados do certificado carregado
-
(Dispositivos Windows) Instale o certificado no Local Machine Personal Certificate Store
-
(Dispositivos macOS) Certifique-se de que o Cliente Cato tem permissão para acessar a chave privada do certificado
-
Carregue certificados de assinatura no CMA para usá-los em políticas de acesso para sua conta.
Se o certificado carregado for inválido ou expirado, os dispositivos podem ser impedidos de acessar a rede com base nas configurações da sua política.
Para carregar um novo certificado de assinatura:
-
No menu de navegação, selecione Acesso > Acesso do Cliente.
-
Na seção Certificados de Assinatura, clique em Novo.
-
Insira o Nome e clique em Carregar Certificado.
-
Selecione o arquivo do certificado e carregue-o para o CMA.
-
(Opcional) Clique em Mostrar Detalhes para ver metadados do certificado.
Se uma chave pública tiver expirado, o PoP permite a conexão apenas se a autoridade assinou o certificado do dispositivo antes de expirar.
-
O ícone vermelho no lado direito do certificado indica um certificado expirado
-
O ícone de aviso amarelo indica que um certificado expirará dentro dos próximos 30 dias
Cato gera alertas para uma chave pública próxima do vencimento:
-
30 dias antes da chave pública expirar
-
Na data de expiração do certificado
Para os certificados de dispositivo, o Cato não permite que um Cliente se conecte com um certificado expirado. Se um usuário tentar conectar-se com um certificado de dispositivo expirado, o Cliente notifica o PoP que o certificado expirou e a conexão é bloqueada.
O PoP verifica se o certificado é válido e então permite a conexão para Clientes.
A página de Eventos mostra esses eventos com a data de expiração do certificado.
A tela de Eventos (Home > Eventos) ajuda você a monitorar os eventos de certificados expirados. Quando o Cliente Cato se conecta com sucesso a um certificado de dispositivo, Cato gera um evento com as seguintes informações:
-
Nome do Certificado do Cliente – nome do certificado de dispositivo usado para a conexão
-
Certificado do Cliente Expira – data de expiração do certificado de dispositivo
Para eventos de conexão falhados, o motivo da falha é descrito na mensagem do evento. Falhas de conexão podem ser causadas por um emissor ruim ou um certificado expirado.
0 comentário
Artigo fechado para comentários.