GlobalProtect Verbindung konnte nicht hergestellt werden - das erforderliche Clientzertifikat wurde nicht gefunden

GlobalProtect Verbindung konnte nicht hergestellt werden - das erforderliche Clientzertifikat wurde nicht gefunden

292092
Created On 09/26/18 13:47 PM - Last Modified 05/09/23 16:39 PM


Symptom


 

Sie haben Ihr Portal und Gateway für die Verwendung des Authentifizierungsprofils und des Zertifikatprofils 2-Faktor-Authentifizierung konfiguriert, aber die folgende Fehlermeldung wird auf der Statusseite des Clients angezeigt, GlobalProtect wenn Sie versuchen, die auf dem Clientcomputer zu GlobalProtect verbinden:

"Erforderliche Client-Zertifikat wurde nicht gefunden"

 

Diese Fehlermeldung wird möglicherweise auch im PanGP-Dienstprotokoll angezeigt:

Debug(3624): Fehler beim Voranmelden beim Portal XX . XX . . XX XX . Fehler 0

Debug(1594): Schließen Sie WinHttp engen Griff.

Debug(3588): prelogin Status ist Fehler

Error(3591): vor der Anmeldung Fehlermeldung: gültiges Clientzertifikat erforderlich ist

Debug(1594): Schließen Sie WinHttp engen Griff.

Debug(4213): Portal-Status ist Client Cert erforderlich.

Debug(3697): Portal erforderliche Client-Zertifikat nicht gefunden wird.

Environment


  • Palo Alto Networks Firewall
  • GlobalProtect Infrastruktur

Cause


  • Diese Fehler treten auf, weil auf dem Clientcomputer kein korrektes/gültiges Zertifikat gefunden wurde.

Resolution


Sie haben 3 Optionen beim Implementieren der zertifikatbasierten Clientauthentifizierung für Ihre GlobalProtect Umgebung.

  1. Freigegebene Clientzertifikate – Jeder Endpunkt verwendet dasselbe Zertifikat zur Authentifizierung. Sie kann lokal generiert oder aus vertrauenswürdigen CA importiert werden. Bitte beachten Sie, dass dieses Zertifikat nur im Benutzerzertifikatspeicher installiert wird. Computerzertifikate (die in den Speicher für Computerzertifikate importiert werden müssen) können nicht vom Portal übertragen werden.
  2. Eindeutige Clientzertifikate – Erfordert entweder die Implementierung eines SCEP Servers in Ihrem Netzwerk oder die Verwendung eines internen PKI Servers, um sie einzeln auf jedem Computer über GPO oder mit anderen Geräteverwaltungssystemen bereitzustellen
  3. Maschinenzertifikate – wird mit der Pre-Logon Connect-Methode verwendet, um das Gerät anstelle des Benutzers zu authentifizieren

Das auf den Clientcomputer(n) importierte Zertifikat kann möglicherweise denselben Stamm signiert haben, CA der das "Serverzertifikat" in den Portal-/Gateway-Einstellungen signiert hat. Stellen Sie jedoch sicher, dass die Appliance über die vollständige CA Vertrauenskette für Zertifikate verfügt, die auf dem Computer des Benutzers importiert wird: z. B. Root + Intermediate (falls zutreffend) CAs.

Hinweis: Das Clientzertifikat wird unter dem Stamm CA eingerückt, wenn es vom Device > Certificates in angezeigt GUI wird.

Bei selbstsignierten Zertifikaten muss das Zertifikat in den vertrauenswürdigen Stamm importiert CA werden.

  • Anweisungen zum Importieren des Zertifikats auf den Clientcomputer mithilfe freigegebener Zertifikate finden Sie in den hiergenannten Anweisungen .
  • Anweisungen zum Importieren des Zertifikats auf den Clientcomputer mit eindeutigen Zertifikaten finden Sie in den hiergenannten Anweisungen .
  • Anweisungen zum Importieren des Zertifikats auf den Clientcomputer mithilfe von Maschinenzertifikaten finden Sie in den hier genannten Anweisungen.

Additional Information


Weitere Dokumentationen zu Zertifikaten und deren Verwendung in der GlobalProtect Umgebung finden Sie in den folgenden Dokumenten:
 

Woher weiß die App, welches Zertifikat geliefert werden soll?

Einrichten der Clientzertifikatauthentifizierung
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClolCAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language