GlobalProtect 连接失败 - 找不到所需的客户端证书 - Knowledge Base - Palo Alto Networks

GlobalProtect 连接失败 - 找不到所需的客户端证书

326664

Created On 09/26/18 13:47 PM - Last Modified 05/09/23 16:39 PM

Symptom

您已配置门户和网关以使用身份验证配置文件和证书配置文件 2 因子身份验证，但当 GlobalProtect 尝试连接客户端计算机时，您可以在客户端状态页面中看到以下错误消息 GlobalProtect ：

"未找到所需的客户端证书"

您还可以在 PanGP 服务日志中看到此错误消息：

德布格（3624）：未能预登录门户 XX XX ... XX XX 错误 0

Debug(1594)：关闭 WinHttp 关闭句柄。

Debug(3588)：预登录状态是错误

Error(3591)：预登录错误消息：有效的客户端证书是必需

Debug(1594)：关闭 WinHttp 关闭句柄。

Debug(4213)：门户地位是要求客户端证书。

Debug(3697)：门户需要找不到客户端证书。

在为您的环境实施基于证书的客户端身份验证时，您有 3 个选项 GlobalProtect 。

共享客户端证书 - 每个端点使用相同的证书进行身份验证：它可以是本地生成或从受信任的进口 CA 。请注意，此证书将仅安装在用户证书商店中。机器证书（需要在机器证书商店中导入）不能从门户中推入。
唯一的客户端证书 - 需要 SCEP 在网络上实施服务器，或使用内部服务器 PKI 通过 GPO 或使用其他设备管理系统单独部署到每个机器
机器证书 - 使用预登录连接方法来验证设备，而不是用户

导入到客户端机器的证书可能在 CA 门户/网关设置中签署"服务器证书"的根上签名，也可能不签署。但是，请确保设备具有 CA 在用户机器上导入的完整证书信任链：即 Root + 中间卡（如果适用）。

注：客户证书将在根下缩定 CA ，当从 设备>证书 查看 GUI 时。

在自签名证书的情况下，证书将需要导入到值得信赖的根 CA 。

有关证书及其在环境中使用的其他文档 GlobalProtect ，请参阅以下文档：