Устранение неполадок сертификата устройства

Обзор

При настройке аутентификации устройства для клиентов SDP, могут возникнуть проблемы, связанные с сертификатом. Эта статья охватывает основные вопросы устранения неполадок с сертификатом устройства. Для получения дополнительной информации о функции, см. Управление сертифицированными корпоративными устройствами

Устранение неполадок

Следующие шаги по устранению неполадок могут быть предприняты при исследовании проблем с сертификатом устройства.

1. Как упоминается в Использование политики подключения клиента для управления вашими требованиями к аутентификации устройства, конфигурация сертификата устройства для каждой ОС должна быть выполнена с использованием политики доступа клиента.

В разделе Состояние устройства, вы можете создать проверки устройства для сертификатов (поддерживается на этих версиях клиентов) установленных на конечном устройстве. Проверка подтверждает, что на устройстве установлен сертификат, соответствующий одному из сертификатов устройств, определенных для учетной записи. Для получения дополнительной информации см. Создание проверки устройства сертификата устройства

В качестве альтернативы, если аутентификация устройства выполняется в разделе Доступ к облаку -> Доступ клиента VPN -> Аутентификация устройства, убедитесь, что интересующая ОС указана как обязательная, а не заблокированная.


cma-cert.png

 

2. Все загруженные в CMA CA-сертификаты перечислены в разделе Доступ -> Доступ клиента VPN -> Аутентификация устройства. Это сертификаты Удостоверяющего центра, которые подписали сертификат устройства. Щелчок по значку "Показать сведения" перечисляет детали сертификата в читаемом виде.


devauth2.png

 

3. Важно подтвердить, что срок действия CA-сертификата не истек. Если это так, PoP разрешает соединение только в том случае, если центр сертификации подписал сертификат устройства до его истечения. Для сертификатов устройств Cato не позволяет Клиенту подключаться с истекшим сертификатом. Для получения дополнительной информации см.Управление истекшими сертификатами

 

4. Один из способов обеспечить загрузку необходимых CA-сертификатов в CMA — это посмотреть на цепочку сертификатов клиента (путь сертификации). В этом примере, сертификат клиента был подписан промежуточным сертификатом с "CN= Issuing CA Client", который, в свою очередь, был подписан корневым сертификатом с "CN= Root CA". Они должны соответствовать сертификатам, установленным в CMA.

cert-chain__1_.png

 

5. В соответствии с RFC3280, идентификатор ключа центра сертификации клиентского сертификата должен совпадать с идентификатором ключа субъекта издателя (в этом случае промежуточного сертификата). Это еще один способ подтвердить, что правильные промежуточные и корневые CA-сертификаты загружены в CMA.


key_identifier__1_.png

 

6. После того, как мы убедимся, что настройка выглядит правильно и что сертификат действителен, мы проверим наличие сертификата в операционной системе клиента.

Примечание: Для получения дополнительной информации о распределении сертификатов см. Распределение и установка сертификатов устройства


Windows:

В Windows сертификаты устройства должны быть установлены на Локальный компьютер, а не для текущего пользователя. Существует два способа проверки наличия сертификата устройства:

  • Откройте командную строку и введите certutil -store My, чтобы вывести список всех доступных пользовательских сертификатов на устройстве. В приведенном ниже примере первый издатель сертификата совпадает с темой сертификата CA, установленного на шаге #2. Если это не так, у клиента нет необходимого сертификата на устройстве. 
    Certutil  - это очень мощный инструмент, который можно использовать для перечисления, отзыва или обновления сертификатов. Вы можете найти больше информации о инструменте здесь.

  • certutil также можно использовать для установки PFX (p12) файла сертификата на устройство, запустив команду ниже. Это рекомендуемый способ установки сертификата на устройства Windows, как объясняется в Распределение сертификатов устройств на устройства Windows.

  • Кроме того, вы можете проверить установленные сертификаты на устройстве, введя certlm.msc из меню Пуск Windows. Это покажет все сертификаты, установленные на Локальном компьютере. Сертификат устройства должен быть установлен в папку Личные/Сертификаты Локального компьютера и содержать закрытый ключ, который должен был быть установлен файлом PFX.

 

MacOS и iOS:

macOS v5.3 и ниже:

Убедитесь, что клиент macOS содержит профиль конфигурации, ранее распределённый через MDM или Apple Configurator. Профиль можно найти в Настройки & Безопасность для macOS 13. Чтобы найти профиль в старых версиях macOS, см. руководство пользователя macOS.

Любая версия iOS:

Убедитесь, что устройство iOS содержит профиль конфигурации, ранее распределённый через MDM или Apple Configurator. Профиль можно найти в Общие настройки > VPN & Управление устройствами > профиль конфигурации для iOS18. Чтобы найти профиль в старых версиях iOS, см. руководство пользователя iOS.

 

Убедитесь, что профиль VPN правильно настроен. VPN нагрузка должна быть настроена в соответствии с типом устройства (macOS или iOS):

  • Тип соединения: Пользовательский SSL

  • Идентификатор:

    • Для macOS:  com.catonetworks.mac.CatoClient 
    • Для iOS:  CatoNetworks.CatoVPN 
  • Сервер: vpn.catonetworks.net
  • Учетная запись: добавьте имя учетной записи. Например: CatoNetworksAccount.
    • Для iOS Клиента v5.6 и выше: установите учетную запись как "CatoClientVPN".

  • Идентификатор поставщика:

    • Для macOS: com.catonetworks.mac.CatoClient.CatoClientSysExtension
    • Для iOS: CatoNetworks.CatoVPN.CatoVPNNEExtenstion 
  • Выделенное требование провайдера: пусто
  • Аутентификация пользователей: Сертификат
  • Тип провайдера: Пакетный туннель
  • Учетные данные: Выберите сертификат из нагрузки 'Сертификаты'
  • Настройка прокси: Нет группировки

Для получения детальной информации о конфигурации VPN профиля, смотрите Распределение сертификатов устройств на устройства macOS и iOS.

 

macOS v5.4 и выше:

Начиная с macOS Клиент v5.4, сертификат может быть установлен непосредственно на устройстве без распределения через MDM. Сертификат и закрытый ключ можно найти в Доступе к ключницам. 

Сертификаты устройств могут быть распределены на устройства macOS, как объясняется в Распределение сертификатов устройства и через Microsoft Active Directory, используя корпоративный CA Windows. См.: Как создать и отправить сертификат клиента для компьютеров Mac независимо от диспетчера конфигурации

Сертификат пользователя можно найти в разделе входа в систему в Доступе к ключницам:

  • Убедитесь, что сертификат установлен на "Всегда доверять".
  • Убедитесь, что настройка контроля доступа к закрытому ключу позволяет Клиенту Cato или "Разрешить всем приложениям доступ к этому элементу".

 

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 1 из 3

0 комментариев