An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
GlobalProtect n’a pas réussi à se connecter - certificat client... - Knowledge Base - Palo Alto Networks
GlobalProtect n’a pas réussi à se connecter - certificat client requis n’est pas trouvé
326758
Created On 09/26/18 13:47 PM - Last Modified 05/09/23 16:39 PM
Symptom
Vous avez configuré votre portail et votre passerelle pour utiliser le profil d’authentification et le profil de certificat 2 facteur authentification, mais vous voyez le message d’erreur ci-dessous dans la page GlobalProtect d’état du client lorsque vous essayez de connecter GlobalProtect l’ordinateur client :
« Certificat Client requis est introuvable »
Vous pouvez également voir ce message d’erreur dans le journal de service PanGP :
Debug(3624) : Échec de la pré-connexion au portail XX . XX . XX XX . Erreur 0
Debug(1594) : fermer le handle étroite de WinHttp.
Debug(3588) : statut de pré-ouverture est erreur
Error(3591) : message d’erreur avant ouverture de session : certificat client valide est requis
Debug(1594) : fermer le handle étroite de WinHttp.
Debug(4213) : portail statut est Client Cert requis.
Debug(3697) : Portail requis certificat client n’est pas trouvé.
Environment
Palo Alto Networks Firewall
GlobalProtect Infrastructure
Cause
Ces erreurs se produisent parce qu’il n’y a pas de certificat correct/valide trouvé sur l’ordinateur du client.
Resolution
Vous avez 3 options lors de la mise en œuvre de l’authentification client basée sur un certificat pour GlobalProtect votre environnement.
Certificats clients partagés - chaque point de terminaison utilise le même certificat pour authentifier; il peut être généré localement ou importé de CA confiance. Veuillez noter que ce certificat ne serait installé que dans le magasin de certificats d’utilisateur. Les certificats de machine (qui doivent être importés dans le magasin de certificats de machine) ne peuvent pas être poussés du portail.
Certificats clients uniques - nécessite soit la mise en œuvre d’un SCEP serveur sur votre réseau ou l’utilisation d’un interne pour les déployer PKI individuellement à chaque machine à travers GPO ou en utilisant d’autres systèmes de gestion de périphérique
Certificats machine - utilisé avec la méthode de connexion Pré-Logon pour authentifier l’appareil plutôt que l’utilisateur
Le certificat importé à la machine cliente peut ou non être signé la même racine qui CA a signé le « certificat serveur » dans les paramètres Portal/Gateway. Toutefois, veuillez vous assurer que l’appareil a la CA chaîne complète de certificats de confiance importée sur la machine de l’utilisateur : c.-à-d. les CA Root + Intermediate (le cas échéant).
Remarque : Le certificat client sera indented sous la racine lors de la CA visualisation à partir de l’appareil > certificats dans le GUI .
En cas de certificat autosigné, le certificat devra être importé à la racine de CA confiance.
Pour obtenir des instructions sur la façon d’importer le certificat à l’ordinateur client à l’aide de certificats partagés, veuillez suivre les instructions mentionnées ici.
Pour les instructions sur la façon d’importer le certificat à l’ordinateur client en utilisant des certificats uniques, s’il vous plaît suivre les instructions mentionnées ici.
Pour obtenir des instructions sur la façon d’importer le certificat à l’ordinateur client à l’aide de certificats de machine, veuillez suivre les instructions mentionnées ici
Additional Information
Pour plus de documentation concernant les certificats et leur utilisation dans GlobalProtect l’environnement, veuillez consulter les documents suivants :