GlobalProtect no se pudo conectar: no se encuentra el certificado de cliente requerido

GlobalProtect no se pudo conectar: no se encuentra el certificado de cliente requerido

292069
Created On 09/26/18 13:47 PM - Last Modified 05/09/23 16:39 PM


Symptom


 

Ha configurado el portal y la puerta de enlace para utilizar el perfil de autenticación y la autenticación de factor de perfil de certificado 2, pero verá el siguiente mensaje de error en la página de estado del GlobalProtect cliente al intentar conectar el equipo GlobalProtect cliente:

"Requiere certificado de cliente no se encuentra"

 

Usted puede también ver este mensaje de error en el registro del servicio PanGP:

Debug(3624): No se pudo iniciar sesión previamente en el portal XX XX . . . XX XX . Error 0

Debug(1594): cierre manija cerca de WinHttp.

Debug(3588): estado de prelogin es Error

Error(3591): mensaje de error de login antes: se requiere certificado de cliente válido

Debug(1594): cierre manija cerca de WinHttp.

Debug(4213): portal estado es cliente Cert requerido.

Debug(3697): Portal requiere certificado de cliente no se encuentra.

Environment


  • Palo Alto Networks Firewall
  • GlobalProtect Infraestructura

Cause


  • Estos errores se producen porque no se encuentra ningún certificado correcto/válido en el equipo del cliente.

Resolution


Tiene 3 opciones al implementar la autenticación de cliente basada en certificados para su GlobalProtect entorno.

  1. Certificados de cliente compartidos: cada punto de conexión utiliza el mismo certificado para autenticarse; se puede generar localmente o importar desde de CA confianza. Tenga en cuenta que este certificado se instalaría únicamente en el almacén de certificados de usuario. Los certificados de máquina (que deben importarse en el almacén de certificados de máquina) no se pueden insertar desde el portal.
  2. Certificados de cliente únicos: requiere la implementación de un servidor en la red o el SCEP uso de un interno para PKI implementarlos individualmente en cada equipo a través GPO o utilizando otros sistemas de administración de dispositivos
  3. Certificados de máquina: se utilizan con el método de conexión previo al inicio de sesión para autenticar el dispositivo en lugar del usuario

El certificado importado a los equipos cliente puede o no firmarse la misma raíz CA que firmó el "Certificado de servidor" en la configuración del portal/puerta de enlace. Sin embargo, asegúrese de que el dispositivo tiene la CA cadena de confianza completa del certificado importada en el equipo del usuario: es decir, ca raíz + intermedio (si corresponde).

Nota: El certificado de cliente se con sangría bajo la raíz CA al ver desde el dispositivo > certificados en el GUI .

En los casos de certificados autofirmados, el certificado deberá importarse a la raíz de CA confianza.

  • Para obtener instrucciones sobre cómo importar el certificado al equipo cliente mediante certificados compartidos, siga las instrucciones mencionadas aquí.
  • Para obtener instrucciones sobre cómo importar el certificado al equipo cliente mediante certificados únicos, siga las instrucciones mencionadas aquí.
  • Para obtener instrucciones sobre cómo importar el certificado al equipo cliente mediante certificados de máquina, siga las instrucciones mencionadas aquí

Additional Information


Para obtener documentación adicional sobre los certificados y su uso dentro del GlobalProtect entorno, consulte los siguientes documentos:
 

¿Cómo sabe la aplicación qué certificado suministrar?

Configurar la autenticación de certificados de cliente
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClolCAC&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language