Globalprotect App auf Android 6.0 + kann keine VPN-Verbindung mit IP-Adresse herstellen

Globalprotect App auf Android 6.0 + kann keine VPN-Verbindung mit IP-Adresse herstellen

35670
Created On 09/26/18 13:47 PM - Last Modified 06/07/23 19:40 PM


Symptom


Symptome

Globalprotect APP, die auf Android 6,0 oder später läuft, kann die VPN-Verbindung nicht herstellen, wenn: 

 

  • Das Root-CA-Zertifikat für globalprotect Portal/Gateway ist in vertrauenswürdigen Referenzen auf dem Android-Gerät.
  • Und das globalprotect Portal/Gateway-Zertifikat Common Name (CN) ist IP-Adresse.

 

In diesem Fall wird folgende Fehlermeldung angezeigt: kann nicht mit globalprotect Portal verbunden werden

Error-on-AndroidVM-001. png

 

 

GP. log von globalprotect APP zeigt folgende Fehler an:

(6227) 01/05 17:55:33:120201-javax. net. SSL. sslpeerunverifiedexception: Hostname 192.168.206.1 nicht verifiziert:
 Certificate: SHA1/5bhzss0x9epod9ytepzcwtcnaoq =
 DN: CN = 192.168.206.1, St = Tokyo, C = JP
 subjekttnames: [192.168.206.1] 
(6227) 01/05 17:55:33:120352-Ausnahme gethttpresponse, Response Code is 0
(6227) 01/05 17:55:33:120521-Antwort von Server ist:
NULL, Ausnahme Meldung: Hostname 192.168.206.1 nicht verifiziert:
 Zertifikat: SHA1/ 5bhzss0x9epod9ytepzcwtcnaoq =
 DN: CN = 192.168.206.1, St = Tokyo, C = JP
 subjekttnames: [192.168.206.1]
 ETYPE:javax. net. SSL. sslpeerunverifiedexception: Hostname 192.168.206.1 nicht verifiziert:
 Zertifikat: SHA1/ 5bhzss0x9epod9ytepzcwtcnaoq =
 DN: CN = 192.168.206.1, St = Tokyo, C = JP
 subjekttnames: [192.168.206.1]
(6227) 01/05 17:55:33:120557-(L5) jni, 6243, 508, nicht behandelt, ret = Error, javax. net. SSL. sslpeerunverifiedexception: Hostname 192.168.206.1 nicht verifiziert:
 Zertifikat: SHA1/5bhzss0x9epod9ytepzcwtcnaoq =
 DN: CN = 192.168.206.1, St = Tokyo, C = JP
 subjekttnames: [192.168.206.1], zurück NULL jetzt

 

Diagnose

Das liegt an einem neuen Verhalten von Android 6.0 +.

 

Ausgehend von Android 6,0, wenn es sich bei der CN um eine IP-Adresse in einem Zertifikat handelt, sollte die IP-Adresse auch im Betreff Alternative Name (San) als IPAddress-subaltname sein. Wenn die IP-Adresse in der IPAddress-subaltname fehlt, wird die Zertifizierungs Überprüfung fehlschlagen.

 

Bei älteren Android-Versionen wird die Zertifizierungs Überprüfung so lange Vergehen, wie die CN-Spiele.

 

 

 

Resolution


Generieren Sie ein Zertifikat für globalprotect Portal/Gateway, das IPAddress-subaltname-Feld hat, und ersetzen Sie die vorhandenen Zertifikate.

 

Der folgende Bildschirmfoto zeigt, wie man IPAddress-Betreff Alternative Name auf der Palo Alto netrwork Firewall der nächsten Generation einsteckt.

 

Bei der Erstellung eines Zertifikats, fügen Sie "IP"-Typ und Eingabe der IP-Adresse als Wert in Zertifikat Attribute Feld:

IPAddress-subAltName-PANFW001. png 

 

Das generierte Zertifikat zeigt den IP-Adress Wert in der Betreff-Alternative Namensfeld:

CERT-on-Windows-001. png

 

Setzen Sie dieses Zertifikat für globalprotect Portal/Gateway-Zertifikate.  Danach kann die VPN-Verbindung hergestellt werden.

 

Bitte lesen Sie den folgenden Leitfaden für den Einsatz des globalprotect Server Zertifikats: 

Server-Zertifikate für die globalprotect-Komponenten einsetzen

 

  

Ein weiterer verfügbarer Workaround ist das Entfernen des CA-Zertifikats vom Android-Telefon (in der Regel von "Einstellung > Sicherheit > vertrauenswürdige Berechtigungen").

 

In diesem Fall zeigt die globalprotect-App einmal die Warnmeldung "untrsuted Certificate" (wie unten gezeigt), dann wird die Verbindung hergestellt.

 

Error-on-AndroidVM-001. png

 

Dies wird in der Regel nicht empfohlen, da Nutzer die Gültigkeit des Ziel Portals/Gateway manuell überprüfen sollten.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CloyCAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language