GlobalProtect Gateway Zertifikats Fehler beim Versuch, GlobalProtect zu verbinden

GlobalProtect Gateway Zertifikats Fehler beim Versuch, GlobalProtect zu verbinden

222483
Created On 09/25/18 20:36 PM - Last Modified 06/08/20 23:27 PM


Resolution


Problem

Bei dem Versuch, GlobalProtect mit der Palo Alto Networks Firewall zu verbinden, ist es erfolgreich mit dem Portal verbunden, gibt aber einen Zertifikats Fehler an, wenn es versucht, sich mit dem Gateway zu verbinden. Bei der Verwendung älterer Versionen des Agenten verbindet er sich ohne Ausgabe.

 

Ursache

Dieses Problem könnte durch eine neue Überprüfung verursacht werden, die in der GlobalProtect Version 2.1.0 eingeführt wurde. Die Überprüfung stellt sicher, dass die Gateway-Adresse in das GlobalProtect Portal konfiguriert die CN des Zertifikats übereinstimmt, die das Gateway konfiguriert ist verwenden. Diese Überprüfung wurde nicht in älteren Versionen implementiert, so dass diese Ausgabe nicht angetroffen wurde.

Hinweis: Wenn die Gateway-Adresse ein FQDN ist und dieser FQDN im Zertifikat ist, produziert Globalprotect Agent v 2.1.0 und up den Zertifikats Fehler, bis der PTR-Datensatz in DNS erstellt wird.

 

Lösung

  1. Bestimmen Sie, welches Zertifikat das Gateway konfiguriert ist, verwenden und sie aufschreiben. Screen Shot 2016-04-13 bei 5.42.21 pm.png
  2. Gerät zur > Certificate Management > Zertifikaten und notieren Sie den CN des Zertifikats, das in Schritt 1 kopiert wurde.
    Screen Shot 2016-04-13 bei 5.41.27 pm.png
  3. Passen Sie die Adresse des Gateways in der GlobalProtect Portal Clientkonfiguration CN, die in Schritt2 kopiert wurde.
    Screen Shot 2016-04-13 bei 5.43.25 pm.png
  4. Übernehmen Sie die Änderungen, und versuchen Sie es mit dem Agenten verbinden.

 

Hinweis:

Wenn das Gateway-Zertifikat einen Hostnamen (DnsName) im Betreff Alternative Name (San)- Attribut enthält, sollte es auch dem gemeinsamen Namen des Zertifikats entsprechen, wie im obigen Artikel angegeben.

 

 

Wichtig! Bevor Sie diese Änderung vornehmen, stellen Sie sicher, dass die DNS-Server, die auf der Firewall verwendet werden, in der Lage sind, den Hostnamen "Globalprotect Portal" auf eine öffentliche IP-Adresse zu lösen, und dass es auch einen PTR-Datensatz gibt, um die IP-Adresse zurück zum Hostnamen zu lösen. Wenn in eine interne IP-Adresse aufgelöst wird, wird dies das Portal von der externen Schnittstelle unzugänglich machen.

 

Besitzer: Jwebb
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClixCAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language