GlobalProtect 连接失败 - 找不到所需的客户端证书

GlobalProtect 连接失败 - 找不到所需的客户端证书

292110
Created On 09/26/18 13:47 PM - Last Modified 05/09/23 16:39 PM


Symptom


 

您已配置门户和网关以使用身份验证配置文件和证书配置文件 2 因子身份验证,但当 GlobalProtect 尝试连接客户端计算机时,您可以在客户端状态页面中看到以下错误消息 GlobalProtect :

"未找到所需的客户端证书"

 

您还可以在 PanGP 服务日志中看到此错误消息:

德布格(3624):未能预登录门户 XX XX ... XX XX 错误 0

Debug(1594): 关闭 WinHttp 关闭句柄。

Debug(3588): 预登录状态是错误

Error(3591): 预登录错误消息: 有效的客户端证书是必需

Debug(1594): 关闭 WinHttp 关闭句柄。

Debug(4213): 门户地位是要求客户端证书。

Debug(3697): 门户需要找不到客户端证书。

Environment


  • 帕洛阿尔托网络 Firewall
  • GlobalProtect 基础 设施

Cause


  • 这些错误的发生是因为在客户的计算机上找不到正确/有效的证书。

Resolution


在为您的环境实施基于证书的客户端身份验证时,您有 3 个选项 GlobalProtect 。

  1. 共享客户端证书 - 每个端点使用相同的证书进行身份验证:它可以是本地生成或从受信任的进口 CA 。 请注意,此证书将仅安装在用户证书商店中。 机器证书(需要在机器证书商店中导入)不能从门户中推入。
  2. 唯一的客户端证书 - 需要 SCEP 在网络上实施服务器,或使用内部服务器 PKI 通过 GPO 或使用其他设备管理系统单独部署到每个机器
  3. 机器证书 - 使用预登录连接方法来验证设备,而不是用户

导入到客户端机器的证书可能在 CA 门户/网关设置中签署"服务器证书"的根上签名,也可能不签署。 但是,请确保设备具有 CA 在用户机器上导入的完整证书信任链:即 Root + 中间卡(如果适用)。

注:客户证书将在根下缩定 CA ,当从 设备>证书 查看 GUI 时。

在自签名证书的情况下,证书将需要导入到值得信赖的根 CA 。

  • 有关如何使用共享证书将证书导入客户端计算机的说明,请按照 此处提到的说明操作。
  • 有关如何使用唯一证书将证书导入客户端计算机的说明,请按照 此处提到的说明操作。
  • 有关如何使用机器证书将证书导入客户端计算机的说明,请按照此处提到的说明操作

Additional Information


有关证书及其在环境中使用的其他文档 GlobalProtect ,请参阅以下文档:
 

应用如何知道要提供哪个证书?

设置客户端证书认证
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClolCAC&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language