GlobalProtect n’a pas réussi à se connecter - certificat client requis n’est pas trouvé

GlobalProtect n’a pas réussi à se connecter - certificat client requis n’est pas trouvé

292094
Created On 09/26/18 13:47 PM - Last Modified 05/09/23 16:39 PM


Symptom


 

Vous avez configuré votre portail et votre passerelle pour utiliser le profil d’authentification et le profil de certificat 2 facteur authentification, mais vous voyez le message d’erreur ci-dessous dans la page GlobalProtect d’état du client lorsque vous essayez de connecter GlobalProtect l’ordinateur client :

« Certificat Client requis est introuvable »

 

Vous pouvez également voir ce message d’erreur dans le journal de service PanGP :

Debug(3624) : Échec de la pré-connexion au portail XX . XX . XX XX . Erreur 0

Debug(1594) : fermer le handle étroite de WinHttp.

Debug(3588) : statut de pré-ouverture est erreur

Error(3591) : message d’erreur avant ouverture de session : certificat client valide est requis

Debug(1594) : fermer le handle étroite de WinHttp.

Debug(4213) : portail statut est Client Cert requis.

Debug(3697) : Portail requis certificat client n’est pas trouvé.

Environment


  • Palo Alto Networks Firewall
  • GlobalProtect Infrastructure

Cause


  • Ces erreurs se produisent parce qu’il n’y a pas de certificat correct/valide trouvé sur l’ordinateur du client.

Resolution


Vous avez 3 options lors de la mise en œuvre de l’authentification client basée sur un certificat pour GlobalProtect votre environnement.

  1. Certificats clients partagés - chaque point de terminaison utilise le même certificat pour authentifier; il peut être généré localement ou importé de CA confiance. Veuillez noter que ce certificat ne serait installé que dans le magasin de certificats d’utilisateur. Les certificats de machine (qui doivent être importés dans le magasin de certificats de machine) ne peuvent pas être poussés du portail.
  2. Certificats clients uniques - nécessite soit la mise en œuvre d’un SCEP serveur sur votre réseau ou l’utilisation d’un interne pour les déployer PKI individuellement à chaque machine à travers GPO ou en utilisant d’autres systèmes de gestion de périphérique
  3. Certificats machine - utilisé avec la méthode de connexion Pré-Logon pour authentifier l’appareil plutôt que l’utilisateur

Le certificat importé à la machine cliente peut ou non être signé la même racine qui CA a signé le « certificat serveur » dans les paramètres Portal/Gateway. Toutefois, veuillez vous assurer que l’appareil a la CA chaîne complète de certificats de confiance importée sur la machine de l’utilisateur : c.-à-d. les CA Root + Intermediate (le cas échéant).

Remarque : Le certificat client sera indented sous la racine lors de la CA visualisation à partir de l’appareil > certificats dans le GUI .

En cas de certificat autosigné, le certificat devra être importé à la racine de CA confiance.

  • Pour obtenir des instructions sur la façon d’importer le certificat à l’ordinateur client à l’aide de certificats partagés, veuillez suivre les instructions mentionnées ici.
  • Pour les instructions sur la façon d’importer le certificat à l’ordinateur client en utilisant des certificats uniques, s’il vous plaît suivre les instructions mentionnées ici.
  • Pour obtenir des instructions sur la façon d’importer le certificat à l’ordinateur client à l’aide de certificats de machine, veuillez suivre les instructions mentionnées ici

Additional Information


Pour plus de documentation concernant les certificats et leur utilisation dans GlobalProtect l’environnement, veuillez consulter les documents suivants :
 

Comment l’application sait-elle quel certificat fournir ?

Configurer l’authentification du certificat client
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClolCAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language