设备证书故障排除

概述

在配置SDP客户端的设备认证时,可能会出现与证书相关的问题。 本文介绍了基本的设备证书故障排除。 有关此功能的更多信息,请参见控制认证企业设备

故障排除

以下是调查设备证书问题时可以采取的故障排除步骤。

1. 如在使用客户端连接策略管理设备认证需求中所述,每个操作系统配置的设备证书应使用客户端连接策略进行配置。

在设备姿态下,您可以为安装在最终用户设备上的证书创建设备检查(支持这些客户端版本)。 检查会验证设备上安装的证书是否与为账户定义的任一签名证书匹配。 有关更多信息,请参见创建设备证书检查

或者,如果设备认证是在访问->客户端访问->设备认证下进行的,请验证有趣的操作系统被列为必需而不是被阻止。


cma-cert.png

 

2. 上传到CMA的所有CA证书列在访问 -> 客户端访问 -> 设备认证下。 这些是签署设备证书的证书颁发机构证书。 点击"显示详情"图标,可以以可读的形式列出证书详情。


devauth2.png

 

3. 确认CA证书未过期非常重要。 如果是这样,PoP仅当证书授权在设备证书过期之前签署了证书时才允许连接。 对于设备证书,Cato不允许客户端使用过期证书进行连接。 有关更多信息,请参见处理过期证书

 

4. 确保将必要的CA证书上传到CMA的一种方法是查看客户端证书链(认证路径)。 在此示例中,客户端证书由“CN= Issuing CA Client”中间证书签署,而中间证书则由“CN= Root CA”根证书签署。 这些必须与CMA中安装的证书相匹配。

cert-chain__1_.png

 

5. 根据RFC3280,客户端证书的权威密钥标识符必须与发行人的主题密钥标识符相匹配(在这种情况下为中间证书)。 这是确认正确的中间和根CA证书上传到CMA的另一种方法。


key_identifier__1_.png

 

6. 在确认配置无误且证书有效后,我们将核实证书是否存在于客户端的操作系统中。

注意:有关证书分发的更多信息,请参见分发和安装设备证书


Windows:

在Windows中,设备证书必须安装在本地计算机而非当前用户下。 有两种方法可以验证设备证书的存在:

  • 打开命令提示符并输入certutil -store My以列出设备上的所有可用用户证书。 在下面的示例中,第一个证书发行人的主题与步骤2中安装的CA证书的主题相匹配。 如果不是这种情况,客户端设备上就没有必要的证书。 
    Certutil是一个非常强大的工具,可以用来列出、撤销或更新证书。 您可以在这里找到有关该工具的更多信息。

  • certutil也可用于通过运行以下命令在设备上安装PFX (p12)证书文件。 这是安装证书到Windows设备上的推荐方法,详见将设备证书分发到Windows设备

    /certutil -csp "Microsoft Software Key Storage Provider" -importpfx My NoExport

  • 另外,您可以通过在Windows开始菜单中键入certlm.msc来验证设备上安装的证书。 这将显示本地计算机上安装的所有证书。 设备证书必须安装在本地计算机的个人/证书文件夹下,并包含PFX文件应已安装的私钥。

 

MacOS和iOS:

macOS v5.3及以下版本:

验证MacOS客户端是否包含先前通过MDM或Apple Configurator分发的配置文件。 该配置文件可以在macOS 13的隐私&安全性设置中找到。 要在旧版macOS中查找配置文件,请参阅macOS用户指南

任何iOS版本:

验证iOS设备是否包含先前通过MDM或Apple Configurator分发的配置文件。 该配置文件可在通用>VPN&设备管理>iOS18的配置文件中找到。 要在旧版iOS中查找配置文件,请参阅iOS用户指南

 

确保VPN配置文件配置正确。 根据设备类型(macOS或iOS),VPN负载必须进行配置:

  • 连接类型: 自定义SSL

  • 标识符:

    • 对于macOS:  com.catonetworks.mac.CatoClient 
    • 对于iOS:  CatoNetworks.CatoVPN 
  • 服务器: vpn.catonetworks.net
  • 账户: 添加您的账户名称。 例如:CatoNetworksAccount。
    • 对于iOS客户端v5.6及以上版本:将账户设置为“CatoClientVPN”。

  • 提供商标识符:

    • 对于macOS: com.catonetworks.mac.CatoClient.CatoClientSysExtension
    • 在 iOS: CatoNetworks.CatoVPN.CatoVPNNEExtenstion 
  • 提供商指定要求:
  • 用户认证: 证书
  • 提供商类型: 数据包隧道
  • 凭证: 从‘证书’负载中选择证书
  • 代理设置:

有关VPN配置文件的详细信息,请参阅将设备证书分发到macOS和iOS设备

 

macOS v5.4及以上:

从macOS客户端v5.4开始,证书可以直接安装在设备上,无需MDM分发。 证书和私钥可以在钥匙串访问中找到。 

设备证书可以按照设备证书分发中所述的方式分发到macOS设备,并使用Windows企业CA通过Microsoft Active Directory分发。 参见: 如何独立于配置管理器为Mac计算机创建和部署客户端证书

用户证书可以在钥匙串访问的登录部分找到:

  • 确保证书设置为“始终信任”。
  • 确保私钥的访问控制设置允许Cato客户端或“允许所有应用程序访问此项”。

 

这篇文章有帮助吗?

3 人中有 1 人觉得有帮助

0 条评论