GlobalProtect 接続に失敗しました - 必要なクライアント証明書が見つかりません

292085

Created On 09/26/18 13:47 PM - Last Modified 05/09/23 16:39 PM

Symptom

認証プロファイルと証明書プロファイル 2 ファクタ認証を使用するようにポータルとゲートウェイを構成しましたが、クライアントコンピュータでの接続を試みると、クライアントのステータスページに次のエラーメッセージ GlobalProtect GlobalProtect が表示されます。

「必要なクライアント証明書が見つからない」

このエラーメッセージは、PanGP サービスログにも記録される場合があります。

Debug(3624): ポータルへの事前ログインに失敗 XX XX XX しました XX 。エラー 0

Debug(1594): は、WinHttp ハンドルを閉じるを閉じます。

Debug(3588): ログイン前の状態がエラー

Error(3591): 前のログインエラーメッセージ: 有効なクライアント証明書が必要

Debug(1594): は、WinHttp ハンドルを閉じるを閉じます。

Debug(4213): ポータルのステータスは、クライアント証明書が必要です。

Debug(3697): ポータルに必要なクライアント証明書が見つからない。

Environment

パロ・アルトのネットワーク Firewall
GlobalProtect インフラストラクチャ

Cause

これらのエラーは、クライアントのコンピュータに正しい証明書や有効な証明書が見つからないために発生します。

Resolution

ご使用の環境に対して証明書ベースのクライアント認証を実装する場合、3 つのオプションがあります GlobalProtect 。

共有クライアント証明書 - 各エンドポイントは同じ証明書を使用して認証します。ローカルで生成することも、信頼済みからインポートすることもできます CA 。この証明書は、ユーザー証明書ストアにのみインストールされることに注意してください。マシン証明書 (マシン証明書ストアにインポートする必要がある証明書) をポータルからプッシュすることはできません。
固有のクライアント証明書 - SCEP ネットワーク上のサーバーの実装または内部の使用が、 PKI 他の GPO デバイス管理システムを介して、または使用して各マシンに個別に展開する必要があります。
マシン証明書 - ユーザーではなくデバイスを認証するためにログオン前接続方式で使用

クライアントマシンにインポートされた証明書は、 CA ポータル/ゲートウェイ設定で「サーバー証明書」に署名したルートと同じルートに署名されている場合と、署名されていない場合があります。ただし、アプライアンスが CA ユーザーのマシンにインポートされた完全な証明書チェーンを持っていることを確認してください: ルート + 中間 (該当する場合) CA。

注: クライアント証明書は、デバイス CA > 証明書から表示すると、ルートの下にインデントされます GUI 。

自己署名証明書の場合、証明書は信頼されたルートにインポートする必要があります CA 。

共有証明書を使用して証明書をクライアントコンピュータにインポートする方法については、ここで説明した手順に従ってください。
一意の証明書を使用して証明書をクライアントコンピュータにインポートする方法については、ここで説明する指示に従ってください。
コンピュータの証明書を使用して証明書をクライアントコンピュータにインポートする方法については、次の手順に従ってください。

Additional Information

証明書および環境内での使用に関するその他のドキュメントについては GlobalProtect 、次のドキュメントを参照してください。

アプリは、どの証明書を提供するかを知る方法を教えてください。