Error de certificado de Gateway GlobalProtect al intentar conectar GlobalProtect

Incidencia

Al intentar conectar GlobalProtect al cortafuegos de Palo Alto Networks, se conecta correctamente al portal, pero da un error de certificado cuando intenta conectarse a la pasarela. Cuando se utilizan versiones anteriores del agente se conecta sin problema.

Causa

Este problema podría ser causado por un nuevo cheque que se introdujo en GlobalProtect versión 2.1.0. La comprobación de la validación se asegura de que la dirección de puerta de enlace configurada en el portal de GlobalProtect coincide con el CN del certificado que el gateway está configurado para utilizar. Esta comprobación no se implementó en versiones anteriores, por lo que no se encontró este problema.

Nota: cuando la dirección de la puerta de enlace es un FQDN y este FQDN está en el certificado, GlobalProtect Agent v 2.1.0 y up produce el error de certificado hasta que el registro PTR se crea en DNS.

Resolución

1. Determinar qué certificado de la puerta de entrada está configurado para utilizar y escribir.
2. Ir a dispositivo > Gestión de certificados > certificados y anote el CN del certificado que se copió en el paso 1.
   
3. Ajuste la dirección del gateway en la configuración del cliente portal GlobalProtect a CN que se copió en el paso 2.
   
4. Cometer los cambios e intentar volver a conectar con el agente.

Nota:

Si el certificado de Gateway incluye un nombre de host (DNSname) en el atributo name Alternative (San) , también debe coincidir con el nombre común del certificado como se indica en el artículo anterior.

¡Importante! Antes de realizar este cambio, asegúrese de que los servidores DNS que se utilizan en el cortafuegos pueden resolver el nombre de host "GlobalProtect portal" a una dirección IP pública y que también hay un registro PTR para resolver la dirección IP de nuevo al nombre del host. Si se resuelve a una dirección IP interna, esto hará que el portal inaccesible desde la interfaz externa.

Propietario: jwebb