Visão geral
Ao configurar a autenticação de dispositivo para clientes SDP, problemas relacionados a certificados podem ocorrer. Este artigo aborda a solução de problemas básicos de certificados de dispositivo. Para mais informações sobre o recurso, veja Controlando Dispositivos Corporativos Certificados
Solução de Problemas
A seguir estão possíveis etapas de solução de problemas que podem ser executadas durante a investigação de problemas de Certificado de Dispositivo.
1. Como mencionado em Use a Política de Acesso do Cliente para Gerenciar seus Requisitos de Autenticação de Dispositivo, o certificado do dispositivo por configuração do SO deve ser feito usando a Política de Acesso do Cliente.
Na Postura do Dispositivo, você pode criar Verificações de Dispositivo para certificados (suportado em estas Versões do Cliente) que estão instalados no dispositivo do usuário final. A verificação valida que há um certificado instalado no dispositivo que corresponde a um dos Certificados de Assinatura definidos para a conta. Para mais informações, veja Criando uma Verificação de Certificado de Dispositivo
2. Todos os certificados de CA enviados para o CMA estão listados em Acesso -> Acesso do Cliente VPN -> Certificados de Dispositivo. Estes são certificados de Autoridade de Certificação que assinaram o Certificado de Dispositivo. Clicar no ícone "Mostrar Detalhes" lista os detalhes do certificado em formato legível.
3. É importante confirmar que o certificado CA não está Expirado. Se estiver, a PoP permite a conexão apenas se a autoridade certificadora assinou o certificado de dispositivo antes de expirar. Para certificados de dispositivos, Cato não permite que um Cliente se conecte com um certificado Expirado. Para mais informações, veja Tratamento de Certificados Expirados
4. Uma maneira de garantir que os certificados CA necessários sejam enviados para o CMA é olhar para a cadeia de certificados do cliente (caminho de certificação). Neste exemplo, o certificado do cliente foi assinado pelo certificado intermediário com "CN= Issuing CA Client", que por sua vez foi assinado pelo certificado raiz com "CN= Root CA". Estes devem corresponder aos certificados instalados no CMA.
5. De acordo com RFC3280, o Identificador de Chave de Autoridade do certificado do cliente deve corresponder ao Identificador de Chave do Assunto do emissor (neste caso, o Certificado Intermediário). Esta é outra forma de confirmar que os corretos certificados intermediário e raiz CA são enviados para o CMA.
6. Depois de garantirmos que a configuração está correta e que o certificado é válido, verificaremos se o certificado está presente no SO do cliente.
Nota: Para mais informações sobre a distribuição de certificado, veja Distribuição e Instalação de Certificados de Dispositivo
Windows:
No Windows, os Certificados de Dispositivo devem ser Instalados no Computador Local e não no usuário atual. Existem duas maneiras de verificar a existência do Certificado de Dispositivo:
- Abra o prompt de comando e digite certutil -store My para listar todos os certificados de usuário disponíveis no dispositivo. No exemplo abaixo, o emissor do primeiro certificado corresponde ao assunto do certificado CA instalado na etapa #2. Se não for o caso, o cliente não possui o certificado necessário no dispositivo.
Certutil é uma ferramenta muito poderosa que pode ser usada para listar, revogar ou renovar certificados. Você pode encontrar mais informações sobre a ferramenta aqui.
-
Certutil também pode ser usado para instalar o arquivo de certificado PFX (p12) no dispositivo executando o comando abaixo. Esta é a maneira recomendada de instalar o certificado nos dispositivos Windows, como explicado em Distribuição de Certificados de Dispositivo para Dispositivos Windows.
/certutil -csp "Microsoft Software Key Storage Provider" -importpfx My <path-to-p12-file> NoExport - Como alternativa, você pode verificar os certificados Instalados no dispositivo digitando certlm.msc no Menu Iniciar do Windows. Isso mostrará todos os certificados Instalados no Computador Local. O Certificado de Dispositivo deve ser Instalado na Pasta Pessoal/Certificados do Computador Local e incluir uma Chave Privada que o arquivo PFX deveria ter Instalado.
MacOS e iOS:
Qualquer versão do iOS:
Verifique se o dispositivo iOS contém o perfil de configuração previamente distribuído via MDM ou Apple Configurator. O perfil pode ser encontrado em Geral > VPN & Gerenciamento de Dispositivos > perfil de configuração para iOS18. Para localizar o perfil em versões mais antigas do iOS, veja guia do usuário iOS.
Certifique-se de que o perfil VPN está corretamente configurado. A carga útil do VPN deve ser configurada de acordo com o tipo de dispositivo (macOS ou iOS):
- Tipo de Conexão:SSL Personalizado
-
Identificador:
- Para macOS: com.catonetworks.mac.CatoClient
- Para iOS: CatoNetworks.CatoVPN
- Servidor:vpn.catonetworks.net
-
Conta:adicione o nome da sua conta. Por exemplo: CatoNetworksAccount.
- Para Cliente iOS v5.6 e superior: defina a conta como "CatoClientVPN."
-
Identificador do Provedor:
- Para macOS: com.catonetworks.mac.CatoClient.CatoClientSysExtension
- Para iOS: CatoNetworks.CatoVPN.CatoVPNNEExtenstion
- Requisito Designado do Provedor:vazio
- Autenticações de Usuário:Certificado
- Tipo de Provedor:Túnel de Pacotes
- Credenciais:Escolha o certificado da carga ‘Certificados’
- Configuração de Proxy:Nenhum
Para informações detalhadas sobre a configuração do perfil VPN, veja Distribuindo Certificados de Dispositivo para Dispositivos macOS e iOS.
macOS v5.4 e superior:
Iniciando Cliente macOS v5.4, o certificado pode ser instalado diretamente no dispositivo sem a distribuição via MDM. O certificado e a chave privada podem ser encontrados no Acesso ao Keychain.
Certificados de Dispositivo podem ser distribuídos para dispositivos macOS como explicado em Distribuindo Certificados de Dispositivo e via Microsoft Active Directory usando uma CA Empresarial do Windows. Veja: Como Criar e Implantar um Certificado de Cliente para Computadores Mac Independentemente do Gerenciador de Configuração
O certificado do Usuário pode ser encontrado na seção de login em Acesso ao Keychain:
- Certifique-se de que o certificado está definido como 'Sempre Confiar'.
- Certifique-se de que a configuração de controle de acesso da chave privada permite o Cliente Cato ou 'Permitir que todos os aplicativos acessem este item'.
Verificação de OID
A verificação de OID é configurada na Configuração Avançada da conta. A configuração especifica a extensão do certificado (OID) para validar e um ou mais valores aceitos.
Por padrão, a verificação de OID está desativada. Você pode configurar a verificação de OID usando o formato descrito no artigo Trabalhar com Configuração Avançada para a Conta. O exemplo a seguir verifica se o certificado contém a extensão Informações sobre o Template do Certificado (1.3.6.1.4.1.311.21.7) com um dos dois valores aceitos:
cert_ext_obj(cert, "1.3.6.1.4.1.311.21.7") == "1.3.6.1.4.1.67291.458.7;1.3.6.1.4.1.58472.73142.918.5"
No lado do cliente, verifique se o OID obrigatório está presente no certificado do cliente:
- No Windows, o Gerenciador de Certificados do Windows exibirá os detalhes do certificado para confirmar que a extensão OID necessária está presente e contém um dos valores esperados. O comando “certutil -v -store My” também fornecerá informações detalhadas sobre o certificado, incluindo seus valores OID.
- No macOS, use o Acesso a Chaves ou a ferramenta de inspeção de certificados apropriada para visualizar as extensões do certificado.
A saída certutil a seguir mostra a extensão de certificado OID e sua informação de template associada:
Extensões de Certificado:
1.3.6.1.4.1.311.21.7: Bandeiras = 0, Comprimento = 30
Informação sobre o Template do Certificado
Template=1.3.6.1.4.1.58472.73142.918.5
Número da Versão Principal=100
Número da Versão Secundária=36
0 comentário
Por favor, entre para comentar.