Cato позволяет вам применять аутентификацию на основе сертификатов, обеспечивая, что только доверенные устройства могут подключаться к вашей сети, не полагаясь исключительно на учетные данные пользователей. Используйте сертификаты подписи в политике доступа, чтобы управлять доступом к сети на основе того, установлен ли сертификат на устройстве. Например, вы можете создать проверку устройства на сертификат, которая применяет текущий статус устройства с помощью Политики подключения клиента. Страница сертификатов подписи отображает основные ключевые детали сертификата и позволяет добавлять новые сертификаты.
Для получения дополнительной информации об установке сертификатов смотрите статьи в разделе Распределение и установка сертификатов устройств.
-
Сертификат, который вы загружаете в CMA, должен соответствовать следующим требованиям:
-
Файл сертификата формата PEM (закодирован в base 64) с расширением .pem, например: sign_cert.pem
-
Формат X.509
-
Использование шифрования RSA
-
-
Сертификат, который вы устанавливаете на устройство, должен включать:
-
Включение как открытого, так и закрытого ключа
-
Соответствие цепочке сертификатов загруженного сертификата
-
(Устройства Windows) Установите сертификат в хранилище Личных сертификатов Локальной машины
-
(Устройства macOS) Убедитесь, что Клиент Cato имеет разрешение на доступ к закрытому ключу сертификата.
-
Загрузите сертификаты подписи в CMA для их использования в политике доступа для вашего аккаунта.
Если загруженный сертификат недействителен или истек, устройства могут быть заблокированы для доступа к сети в зависимости от настроек вашей политики.
Чтобы загрузить новый сертификат подписи:
-
В меню навигации выберите Доступ > Доступ клиента.
-
В разделе Сертификаты подписи нажмите Новый.
-
Введите Имя и нажмите Загрузить сертификат.
-
Выберите файл сертификата и загрузите его в CMA.
-
(Опционально) Нажмите Показать детали, чтобы просмотреть метаданные сертификата.
Если срок действия публичного ключа истек, PoP позволяет подключению произойти только если сертификат устройства был подписан до истечения срока действия.
-
Красная иконка справа от сертификата указывает на то, что срок действия сертификата истек.
-
Желтый значок предупреждения указывает, что срок действия сертификата истечет в течение следующих 30 дней.
Cato генерирует оповещения о истечении срока действия публичного ключа:
-
За 30 дней до истечения срока действия публичного ключа
-
На дату истечения срока действия сертификата
Для сертификатов устройств Cato не позволяет Клиенту подключаться с истекшим сертификатом. Если пользователь пытается подключиться с истекшим сертификатом устройства, Клиент уведомляет PoP, что срок действия сертификата истек, и подключение блокируется.
PoP проверяет, что сертификат действителен, и затем разрешает подключение для Клиентов.
Страница События показывает эти события с датой истечения срока действия сертификата.
Экран Событий (Домой > События) помогает вам отслеживать события для истекших сертификатов. Когда Клиент Cato успешно подключается с сертификатом устройства, Cato генерирует событие со следующей информацией:
-
Имя сертификата клиента - имя сертификата устройства, использованного для подключения
-
Срок действия сертификата клиента истекает - дата истечения срока действия сертификата устройства
Для событий сбоев подключения причина сбоя описана в сообщении события. Сбои подключения могут быть вызваны неправильным издателем или истекшим сертификатом.
0 комментариев
Статья закрыта для комментариев.