Erreur de certificat de passerelle GlobalProtect lors de la tentative de connexion GlobalProtect

Erreur de certificat de passerelle GlobalProtect lors de la tentative de connexion GlobalProtect

222537
Created On 09/25/18 20:36 PM - Last Modified 06/08/20 23:27 PM


Resolution


Demande client

Lorsque vous essayez de connecter GlobalProtect au pare-feu de Palo Alto Networks, il se connecte avec succès au portail, mais donne une erreur de certificat Lorsqu'il tente de se connecter à la passerelle. Lors de l'utilisation des anciennes versions de l'agent, il se connecte sans problème.

 

Cause

Ce problème peut être provoqué par une nouvelle vérification introduite dans GlobalProtect version 2.1.0. Le contrôle de validation permet de s’assurer que l’adresse de la passerelle configurée dans le portail de GlobalProtect correspond à la CN du certificat que la passerelle est configurée pour utiliser. Cette vérification n'a pas été implémentée dans les versions antérieures, ce problème n'a donc pas été rencontré.

Remarque: lorsque l'adresse de la passerelle est un FQDN et que ce FQDN se trouve dans le certificat, GlobalProtect agent v 2.1.0 et up produit l'erreur de certificat jusqu'à ce que l'ENREGISTREMENT PTR soit créé dans DNS.

 

Résolution

  1. Déterminer quel certificat la passerelle est configurée pour utiliser et notez-le. Screen Shot 2016-04-13 à 5.42.21 pm.png
  2. Allez dans appareil > Certificate Management > certificats et notez le CN du certificat qui a été copié à l’étape 1.
    Screen Shot 2016-04-13 à 5.41.27 pm.png
  3. Réglez l’adresse de la passerelle dans la configuration du portail client GlobalProtect au CN qui a été copiée à l’étape 2.
    Screen Shot 2016-04-13 à 5.43.25 pm.png
  4. Validez les modifications et essayer de se reconnecter avec l’agent.

 

Remarque :

Si le certificat de passerelle inclut un nom d'hôte (dNSName) dans l' attribut San (Subject Alternative Name) , il doit également correspondre au nom commun du certificat comme indiqué dans l'article ci-dessus.

 

 

Important! Avant de faire cette modification, assurez-vous que les serveurs DNS qui sont utilisés sur le pare-feu sont en mesure de résoudre le "GlobalProtect Portal" hostname à une adresse IP publique et qu'il ya aussi un enregistrement PTR pour résoudre l'adresse IP de retour au nom d'hôte. Si elle est résolue à une adresse IP interne, cela rendra le portail inaccessible de l’interface externe.

 

propriétaire : jwebb
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClixCAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language