尝试连接 GlobalProtect 时 GlobalProtect 网关证书错误

问题

当试图将 GlobalProtect 连接到帕洛阿尔托网络防火墙时, 它已成功连接到门户, 但在尝试连接到网关时会给出证书错误。使用较早版本的代理时, 它将不发出任何问题。

原因

此问题可能是由 GlobalProtect 版本2.1.0 中引入的新检查引起的。验证检查可以确保在 GlobalProtect 门户中配置的网关地址匹配的证书的网关配置为 CN 使用。此检查未在旧版本中实现, 因此未遇到此问题。

注意:当网关地址是 fqdn 并且此 fqdn 在证书中时, GlobalProtect 代理 v2.1.0 和向上会产生证书错误, 直到在 DNS 中创建 PTR 记录.

解决办法

1. 确定哪些证书网关配置为使用并把它写下来。
2. 转到设备 > 证书管理 > 证书和写下的第 1 步中复制的证书 CN。
   
3. 调整的第 2 步中复制的 CN GlobalProtect 门户客户端配置网关的地址。
   
4. 提交更改并尝试重新连接与代理。

注意：

如果网关证书包含 "主题替代名称 (SAN)" 属性中的主机名 (dnsname) , 则它也应与上面文章中所示的证书的公用名称相匹配.

重要！在进行此更改之前, 请确保防火墙上使用的 DNS 服务器能够将 "GlobalProtect 门户" 主机名解析为公共 IP 地址, 并且还有一个 PTR 记录来将 IP 地址解析回主机名. 如果它将解析为内部 IP 地址，这将使门户无法从外部接口。

所有者： jwebb