Fehler: CN Zertifikatskonflikt beim Herstellen einer Verbindung mit dem GlobalProtect Client
118962
Created On 09/25/18 20:39 PM - Last Modified 08/13/21 21:40 PM
Symptom
Wenn Sie von einem Client aus eine Verbindung GlobalProtect herstellen, wird der folgende Serverzertifikatfehler angezeigt:
Environment
- Palo Alto Firewall .
- PAN-OS 8.1 und höher.
- GlobalProtect Konfiguriert.
Cause
Das Problem tritt auf, weil die CN FQDN (oder IP Adresse), die zum Generieren des Zertifikats unter : Device > Certificate Management > Certificates verwendet GUI und als Serverzertifikat verwendet wird, sich von dem oder Common CN Name unterscheidet, der im Portal unter : Network > > GUI GlobalProtect Portals > (Portalprofil) > Agent > (Agent Profile) > Internal oder External > Internal or External Gateways Address konfiguriert ist.
Resolution
- Stellen Sie sicher, dass dies CN im verwendeten Zertifikat ( GUI : Device > Certificate Management > Certificates) sowie in der Konfiguration des Portals identisch GlobalProtect ist.( GUI : Network > > GlobalProtect Portals > (Portalprofil) > Agent > (Agent Profile) > Internal or External > Internal or External Gateways Address).
- Wenn das CN ein FQDN ist, stellen Sie sicher, dass es an die gleiche Adresse auflösbar IP ist, die in der obigen Konfiguration verwendet wird.
- Die obige Lösung gilt auch dann, wenn das verwendete Zertifikat GlobalProtect von einem privaten CA .