GlobalProtect を接続しようとすると GlobalProtect ゲートウェイ証明書エラー

問題

GlobalProtect をパロアルトネットワークファイアウォールに接続しようとすると、ポータルへの接続は正常に行われますが、ゲートウェイに接続しようとすると証明書エラーが発生します。エージェントの古いバージョンを使用する場合、それは問題なく接続します。

原因

この問題は、GlobalProtect バージョン2.1.0 で導入された新しいチェックによって引き起こされる可能性があります。検証チェックになります GlobalProtect ポータルで構成されているゲートウェイ アドレスがゲートウェイに構成されている証明書の CN を一致することを確認を使用します。このチェックは古いバージョンでは実装されていないため、この問題は発生しませんでした。

注:ゲートウェイアドレスが fqdn で、この fqdn が証明書にある場合、GlobalProtect エージェントのバージョン2.1.0 および up は、PTR レコードが DNS に作成されるまで証明書エラーを生成します。

解決方法

1. どの証明書を使用し、それを書き留めて、ゲートウェイが構成されているを確認します。
2. デバイスに移動 > 証明書管理 > 証明書と手順 1 でコピーした証明書の CN を書き留めます。
   
3. 手順 2 でコピーした cn GlobalProtect ポータル クライアント構成内のゲートウェイのアドレスを調整します。
   
4. 変更をコミットし、エージェントと再接続してみてください。

注:

ゲートウェイ証明書に、サブジェクトの別名 (SAN) 属性にホスト名 (dnsname) が含まれている場合は、上記の資料に示されているように、証明書の共通名と一致する必要もあります。

大事な！この変更を行う前に、ファイアウォールで使用されている DNS サーバーが "GlobalProtect Portal" ホスト名をパブリック ip アドレスに解決できること、および ip アドレスをホスト名に解決するための PTR レコードもあることを確認してください。それが内部の IP アドレスに解決する場合これになるポータルの外部インターフェイスからアクセスできません。

所有者: jwebb