Устранение неполадок сертификата устройства

Обзор

При настройке аутентификации устройства для клиентов SDP, могут возникнуть проблемы, связанные с сертификатом. Эта статья охватывает основные вопросы устранения неполадок с сертификатом устройства. Для получения дополнительной информации о функции, см. Управление сертифицированными корпоративными устройствами

Устранение неполадок

Следующие шаги по устранению неполадок могут быть предприняты при исследовании проблем с сертификатом устройства.

1. Как упоминается в Использование политики подключения клиента для управления вашими требованиями к аутентификации устройства, конфигурация сертификата устройства для каждой ОС должна быть выполнена с использованием политики доступа клиента.

В разделе Состояние устройства, вы можете создать проверки устройства для сертификатов (поддерживается на этих версиях клиентов) установленных на конечном устройстве. Проверка подтверждает, что на устройстве установлен сертификат, соответствующий одному из сертификатов устройств, определенных для учетной записи. Для получения дополнительной информации см. Создание проверки устройства сертификата устройства

 

2. Все загруженные сертификаты ЦС на CMA перечислены под Доступ к облаку -> Доступ клиента VPN-> Сертификаты устройств. Это сертификаты Удостоверяющего центра, которые подписали сертификат устройства. Щелчок по значку "Показать сведения" перечисляет детали сертификата в читаемом виде.


devauth2.png

 

3. Важно подтвердить, что срок действия CA-сертификата не истек. Если это так, PoP разрешает соединение только в том случае, если центр сертификации подписал сертификат устройства до его истечения. Для сертификатов устройств Cato не позволяет Клиенту подключаться с истекшим сертификатом. Для получения дополнительной информации см.Управление истекшими сертификатами

 

4. Один из способов обеспечить загрузку необходимых CA-сертификатов в CMA — это посмотреть на цепочку сертификатов клиента (путь сертификации). В этом примере, сертификат клиента был подписан промежуточным сертификатом с "CN= Issuing CA Client", который, в свою очередь, был подписан корневым сертификатом с "CN= Root CA". Они должны соответствовать сертификатам, установленным в CMA.

cert-chain__1_.png

 

5. В соответствии с RFC3280, идентификатор ключа центра сертификации клиентского сертификата должен совпадать с идентификатором ключа субъекта издателя (в этом случае промежуточного сертификата). Это еще один способ подтвердить, что правильные промежуточные и корневые CA-сертификаты загружены в CMA.


key_identifier__1_.png

 

6. После того, как мы убедимся, что настройка выглядит правильно и что сертификат действителен, мы проверим наличие сертификата в операционной системе клиента.

Примечание: Для получения дополнительной информации о распределении сертификатов см. Распределение и установка сертификатов устройства


Windows:

В Windows сертификаты устройства должны быть установлены на Локальный компьютер, а не для текущего пользователя. Существует два способа проверки наличия сертификата устройства:

  • Откройте командную строку и введите certutil -store My, чтобы вывести список всех доступных пользовательских сертификатов на устройстве. В приведенном ниже примере первый издатель сертификата совпадает с темой сертификата CA, установленного на шаге #2. Если это не так, у клиента нет необходимого сертификата на устройстве. 
    Certutil  - это очень мощный инструмент, который можно использовать для перечисления, отзыва или обновления сертификатов. Вы можете найти больше информации о инструменте здесь.

  • certutil также можно использовать для установки PFX (p12) файла сертификата на устройство, запустив команду ниже. Это рекомендуемый способ установки сертификата на устройства Windows, как объясняется в Распределение сертификатов устройств на устройства Windows.

  • Кроме того, вы можете проверить установленные сертификаты на устройстве, введя certlm.msc из меню Пуск Windows. Это покажет все сертификаты, установленные на Локальном компьютере. Сертификат устройства должен быть установлен в папку Личные/Сертификаты Локального компьютера и содержать закрытый ключ, который должен был быть установлен файлом PFX.

 

MacOS и iOS:

Любая версия iOS:

Убедитесь, что устройство iOS содержит профиль конфигурации, ранее распределённый через MDM или Apple Configurator. Профиль можно найти в Общие настройки > VPN & Управление устройствами > профиль конфигурации для iOS18. Чтобы найти профиль в старых версиях iOS, см. руководство пользователя iOS.

 

Убедитесь, что профиль VPN правильно настроен. VPN нагрузка должна быть настроена в соответствии с типом устройства (macOS или iOS):

  • Тип соединения: Пользовательский SSL
  • Идентификатор:

    • Для macOS:  com.catonetworks.mac.CatoClient 
    • Для iOS:  CatoNetworks.CatoVPN 
  • Сервер: vpn.catonetworks.net
  • Учетная запись: добавьте имя учетной записи. Например: CatoNetworksAccount.
    • Для iOS Клиента v5.6 и выше: установите учетную запись как "CatoClientVPN".
  • Идентификатор поставщика:

    • Для macOS: com.catonetworks.mac.CatoClient.CatoClientSysExtension
    • Для iOS: CatoNetworks.CatoVPN.CatoVPNNEExtenstion 
  • Выделенное требование провайдера: пусто
  • Аутентификация пользователей: Сертификат
  • Тип провайдера: Пакетный туннель
  • Учетные данные: Выберите сертификат из нагрузки 'Сертификаты'
  • Настройка прокси: Нет группировки

Для получения детальной информации о конфигурации VPN профиля, смотрите Распределение сертификатов устройств на устройства macOS и iOS.

 

macOS v5.4 и выше:

Начиная с macOS Клиент v5.4, сертификат может быть установлен непосредственно на устройстве без распределения через MDM. Сертификат и закрытый ключ можно найти в Доступе к ключницам. 

Сертификаты устройств могут быть распределены на устройства macOS, как объясняется в Распределение сертификатов устройства и через Microsoft Active Directory, используя корпоративный CA Windows. См.: Как создать и отправить сертификат клиента для компьютеров Mac независимо от диспетчера конфигурации

Сертификат пользователя можно найти в разделе входа в систему в Доступе к ключницам:

  • Убедитесь, что сертификат установлен на "Всегда доверять".
  • Убедитесь, что настройка контроля доступа к закрытому ключу позволяет Клиенту Cato или "Разрешить всем приложениям доступ к этому элементу".

Проверка OID

Проверка OID настроена в учетной записи Расширенная конфигурация. Конфигурация указывает расширение сертификата (OID), которое нужно проверить, и одно или несколько допустимых значений. 

По умолчанию, проверка OID отключена. Вы можете настроить проверку OID, используя формат, описанный в статье Работа с расширенной конфигурацией для учетной записи. Следующий пример проверяет, что сертификат содержит расширение Информация о шаблоне сертификата (1.3.6.1.4.1.311.21.7) с одним из двух принятых значений:

cert_ext_obj(cert, "1.3.6.1.4.1.311.21.7") == "1.3.6.1.4.1.67291.458.7;1.3.6.1.4.1.58472.73142.918.5"

На стороне клиента, убедитесь, что требуемый OID присутствует в клиентском сертификате: 

  • На Windows, менеджер сертификатов Windows покажет детали сертификата для подтверждения присутствия требуемого расширения OID и наличия одного из ожидаемых значений. Команда "certutil -v -store My" также предоставит подробную информацию о сертификате, включая его значения OID. 
  • На macOS используйте Keychain Access или соответствующий инструмент инспекции сертификатов для просмотра расширений сертификата.

Следующий вывод certutil показывает расширение OID сертификата и связанную с ним информацию о шаблоне:

Расширения сертификата:

1.3.6.1.4.1.311.21.7: Флаги = 0, Длина = 30

    Информация о шаблоне сертификата

        Шаблон=1.3.6.1.4.1.58472.73142.918.5

        Основной номер версии=100

        Младший номер версии=36

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 1 из 3

0 комментариев