IOS 设备的 SSL 证书
81347
Created On 09/25/18 19:49 PM - Last Modified 04/20/20 23:38 PM
Symptom
症状
IOS 设备只有在 verfied 时才会显示 SSL 证书。 当我们使用客户端证书连接 GlobalProtect 时, 设备需要有一个经过验证的证书, 否则您将无法连接。 可能有实例在 MAC 上使用相同的证书, PC 或 Andriod 设备将工作, 但不在 IOS 设备。
颁发的证书可以是 Selfsigned 或内部/外部 CA。无论 CA 是什么, 我们都需要确保在 IOS 设备中提供完整的证书链。

诊断
检查此类问题的首要事项是确保 IOS 设备中的证书配置文件得到验证。您应该能够看到一个绿色的复选标记, 说明证书已验证, 完整的链存在。
1. 导航到设置->> 通用-> 简介
2. 已安装的证书在选定时将显示错误未验证的状态. 请参阅下面的图像以供参考

3. 确保您安装了完整的链以获得证书, 简单的方法是将中间和根证书发往设备, 这些证书不需要私钥, 可以用公钥安装, 如果您没有中级您可以跳过该证书, 只是根和实际证书应该做的。

4. 一旦您拥有了完整的链, 设备现在就可以验证安装在其中的证书, 并将其呈现给 GlobalProtect 连接。

如果运行 IOS 10.3 或更高版本, 请按照此附加步骤信任新安装的证书。
https://support.apple.com/en-us/HT204477
如果要打开该证书的 SSL 信任, 请转到设置 > 关于证书信任设置的 "常规" >。在 "启用对根证书的完全信任" 下, 打开证书的信任。
Resolution
既然现在你有所有正确的 cerficate 链 GlobalProtect 应该能够成功连接。确保以 PKCS 格式发送电子邮件给设备的证书, 因为这是最可取的格式。
