准备工作：

配置paloalto firewall GP 前请配置防火墙选择正确的时区/正确的时间/否则请不要配置后边的工作，防火墙时间与 client 时间不同步会导致 GP 登录时证书错误，防火墙时间做过调整请重新配置证书

证书配置步骤：

CA 签发机构配置：签发机构为firewall 自己（付费证书请导入 Apache证书，可以忽略本操作）

用CA 签发机构生成VPN server 证书，证书名称可填写任意，常见名称要填写公网的IP地址或域名，至于是地址还是域名 取决于登陆的时候是ip还是域名，这一项填写错误会导致客户端登陆的时候出现告警并无法连接，签名者要选择上一次生成的根证书,不能选择证书授权机构

签发 vpn client 证书

配置SSL/TLS服务配置文件

GP 用户身份创建---本手册采用 firewall创建系统user- 可以对接okta radius 等其他相关身份识别系统

输入用户密码

创建本地数据库验证文件

配置隧道-隧道定义到zone

定义隧道 IP 地址段，本网段为 GP 登录地址段

配置GP 网关----网关请定义为外网接口，可以是wan 接口地址

配置GlobalProtect Portal

客户端登录步骤：

1. 系统是自签证书，需要导入CA 签发机构配置为可信证书

其他：

配置 trust to vpn zone 放行策略，否则VPN 上线后无法访问内网资源

源zone VPN 目的zone trust

客户端登录：

https:// 公网IP

本手册是虚拟机演示因无GP license 授权，仅打开页面无法下载 GP 登录客户端，自己去啊官网下载

公网443 端口如果没打开请参考：

GlobalProtect默认为443端口，若公网443端口被运营商封禁，需要将端口改为其它端口

参考：

https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClGKCA0

原理：

新建 loopback口，将GlobalProtect 网关和门户的接口改为loopback

将外网接口的其它端口NAT至loopback的443端口

根证书自动安装