Solução de Problemas de Certificado de Dispositivo

Visão geral

Ao configurar a autenticação de dispositivo para clientes SDP, problemas relacionados a certificados podem ocorrer. Este artigo aborda a solução de problemas básicos de certificados de dispositivo. Para mais informações sobre o recurso, veja Controlando Dispositivos Corporativos Certificados

Solução de Problemas

A seguir estão possíveis etapas de solução de problemas que podem ser executadas durante a investigação de problemas de Certificado de Dispositivo.

1. Como mencionado em Use a Política de Acesso do Cliente para Gerenciar seus Requisitos de Autenticação de Dispositivo, o certificado do dispositivo por configuração do SO deve ser feito usando a Política de Acesso do Cliente.

Na Postura do Dispositivo, você pode criar Verificações de Dispositivo para certificados (suportado em estas Versões do Cliente) que estão instalados no dispositivo do usuário final. A verificação valida que há um certificado instalado no dispositivo que corresponde a um dos Certificados de Assinatura definidos para a conta. Para mais informações, veja Criando uma Verificação de Certificado de Dispositivo

Alternativamente, se a autenticação de dispositivo for feita em Acesso -> Acesso do Cliente -> Autenticação de Dispositivo, verifique se o SO interessante está listado como obrigatório e não bloqueado.


cma-cert.png

 

2. Todos os certificados CA enviados para o CMA estão listados em Acesso -> Acesso do Cliente VPN -> Autenticação de Dispositivo. Estes são certificados de Autoridade de Certificação que assinaram o Certificado de Dispositivo. Clicar no ícone "Mostrar Detalhes" lista os detalhes do certificado em formato legível.


devauth2.png

 

3. É importante confirmar que o certificado CA não está Expirado. Se estiver, a PoP permite a conexão apenas se a autoridade certificadora assinou o certificado de dispositivo antes de expirar. Para certificados de dispositivos, Cato não permite que um Cliente se conecte com um certificado Expirado. Para mais informações, veja Tratamento de Certificados Expirados

 

4. Uma maneira de garantir que os certificados CA necessários sejam enviados para o CMA é olhar para a cadeia de certificados do cliente (caminho de certificação). Neste exemplo, o certificado do cliente foi assinado pelo certificado intermediário com "CN= Issuing CA Client", que por sua vez foi assinado pelo certificado raiz com "CN= Root CA". Estes devem corresponder aos certificados instalados no CMA.

cert-chain__1_.png

 

5. De acordo com RFC3280, o Identificador de Chave de Autoridade do certificado do cliente deve corresponder ao Identificador de Chave do Assunto do emissor (neste caso, o Certificado Intermediário). Esta é outra forma de confirmar que os corretos certificados intermediário e raiz CA são enviados para o CMA.


key_identifier__1_.png

 

6. Depois de garantirmos que a configuração está correta e que o certificado é válido, verificaremos se o certificado está presente no SO do cliente.

Nota: Para mais informações sobre a distribuição de certificado, veja Distribuição e Instalação de Certificados de Dispositivo


Windows:

No Windows, os Certificados de Dispositivo devem ser Instalados no Computador Local e não no usuário atual. Existem duas maneiras de verificar a existência do Certificado de Dispositivo:

  • Abra o prompt de comando e digite certutil -store My para listar todos os certificados de usuário disponíveis no dispositivo. No exemplo abaixo, o emissor do primeiro certificado corresponde ao assunto do certificado CA instalado na etapa #2. Se não for o caso, o cliente não possui o certificado necessário no dispositivo. 
    Certutil é uma ferramenta muito poderosa que pode ser usada para listar, revogar ou renovar certificados. Você pode encontrar mais informações sobre a ferramenta aqui.

  • Certutil também pode ser usado para instalar o arquivo de certificado PFX (p12) no dispositivo executando o comando abaixo. Esta é a maneira recomendada de instalar o certificado nos dispositivos Windows, como explicado em Distribuição de Certificados de Dispositivo para Dispositivos Windows.

    /certutil -csp "Microsoft Software Key Storage Provider" -importpfx My <path-to-p12-file> NoExport

  • Como alternativa, você pode verificar os certificados Instalados no dispositivo digitando certlm.msc no Menu Iniciar do Windows. Isso mostrará todos os certificados Instalados no Computador Local. O Certificado de Dispositivo deve ser Instalado na Pasta Pessoal/Certificados do Computador Local e incluir uma Chave Privada que o arquivo PFX deveria ter Instalado.

 

MacOS e iOS:

macOS v5.3 e abaixo:

Verifique se o cliente macOS contém o perfil de configuração previamente distribuído via MDM ou Apple Configurator. O perfil pode ser encontrado nas Configurações de Privacidade & Segurança para macOS 13. Para localizar o perfil em versões mais antigas do macOS, veja guia do usuário macOS.

Qualquer versão do iOS:

Verifique se o dispositivo iOS contém o perfil de configuração previamente distribuído via MDM ou Apple Configurator. O perfil pode ser encontrado em Geral > VPN & Gerenciamento de Dispositivos > perfil de configuração para iOS18. Para localizar o perfil em versões mais antigas do iOS, veja guia do usuário iOS.

 

Certifique-se de que o perfil VPN está corretamente configurado. A carga útil do VPN deve ser configurada de acordo com o tipo de dispositivo (macOS ou iOS):

  • Tipo de Conexão:SSL Personalizado

  • Identificador:

    • Para macOS:  com.catonetworks.mac.CatoClient 
    • Para iOS:  CatoNetworks.CatoVPN 
  • Servidor:vpn.catonetworks.net
  • Conta:adicione o nome da sua conta. Por exemplo: CatoNetworksAccount.
    • Para Cliente iOS v5.6 e superior: defina a conta como "CatoClientVPN."

  • Identificador do Provedor:

    • Para macOS: com.catonetworks.mac.CatoClient.CatoClientSysExtension
    • Para iOS: CatoNetworks.CatoVPN.CatoVPNNEExtenstion 
  • Requisito Designado do Provedor:vazio
  • Autenticações de Usuário:Certificado
  • Tipo de Provedor:Túnel de Pacotes
  • Credenciais:Escolha o certificado da carga ‘Certificados’
  • Configuração de Proxy:Nenhum

Para informações detalhadas sobre a configuração do perfil VPN, veja Distribuindo Certificados de Dispositivo para Dispositivos macOS e iOS.

 

macOS v5.4 e superior:

Iniciando Cliente macOS v5.4, o certificado pode ser instalado diretamente no dispositivo sem a distribuição via MDM. O certificado e a chave privada podem ser encontrados no Acesso ao Keychain. 

Certificados de Dispositivo podem ser distribuídos para dispositivos macOS como explicado em Distribuindo Certificados de Dispositivo e via Microsoft Active Directory usando uma CA Empresarial do Windows. Veja: Como Criar e Implantar um Certificado de Cliente para Computadores Mac Independentemente do Gerenciador de Configuração 

O certificado do Usuário pode ser encontrado na seção de login em Acesso ao Keychain:

  • Certifique-se de que o certificado está definido como 'Sempre Confiar'.
  • Certifique-se de que a configuração de controle de acesso da chave privada permite o Cliente Cato ou 'Permitir que todos os aplicativos acessem este item'.

 

Esse artigo foi útil?

Usuários que acharam isso útil: 1 de 3

0 comentário