Globalprotect App auf Android 6.0 + kann keine VPN-Verbindung m... - Knowledge Base - Palo Alto Networks

Globalprotect App auf Android 6.0 + kann keine VPN-Verbindung mit IP-Adresse herstellen

40590

Created On 09/26/18 13:47 PM - Last Modified 06/07/23 19:40 PM

Symptom

Symptome

Globalprotect APP, die auf Android 6,0 oder später läuft, kann die VPN-Verbindung nicht herstellen, wenn:

Das Root-CA-Zertifikat für globalprotect Portal/Gateway ist in vertrauenswürdigen Referenzen auf dem Android-Gerät.
Und das globalprotect Portal/Gateway-Zertifikat Common Name (CN) ist IP-Adresse.

In diesem Fall wird folgende Fehlermeldung angezeigt: kann nicht mit globalprotect Portal verbunden werden

Error-on-AndroidVM-001. png

GP. log von globalprotect APP zeigt folgende Fehler an:

(6227) 01/05 17:55:33:120201-javax. net. SSL. sslpeerunverifiedexception: Hostname 192.168.206.1 nicht verifiziert:
 Certificate: SHA1/5bhzss0x9epod9ytepzcwtcnaoq =
 DN: CN = 192.168.206.1, St = Tokyo, C = JP
 subjekttnames: [192.168.206.1] 
(6227) 01/05 17:55:33:120352-Ausnahme gethttpresponse, Response Code is 0
(6227) 01/05 17:55:33:120521-Antwort von Server ist:
NULL, Ausnahme Meldung: Hostname 192.168.206.1 nicht verifiziert:
 Zertifikat: SHA1/ 5bhzss0x9epod9ytepzcwtcnaoq =
 DN: CN = 192.168.206.1, St = Tokyo, C = JP
 subjekttnames: [192.168.206.1]
 ETYPE:javax. net. SSL. sslpeerunverifiedexception: Hostname 192.168.206.1 nicht verifiziert:
 Zertifikat: SHA1/ 5bhzss0x9epod9ytepzcwtcnaoq =
 DN: CN = 192.168.206.1, St = Tokyo, C = JP
 subjekttnames: [192.168.206.1]
(6227) 01/05 17:55:33:120557-(L5) jni, 6243, 508, nicht behandelt, ret = Error, javax. net. SSL. sslpeerunverifiedexception: Hostname 192.168.206.1 nicht verifiziert:
 Zertifikat: SHA1/5bhzss0x9epod9ytepzcwtcnaoq =
 DN: CN = 192.168.206.1, St = Tokyo, C = JP
 subjekttnames: [192.168.206.1], zurück NULL jetzt

Diagnose

Das liegt an einem neuen Verhalten von Android 6.0 +.

Ausgehend von Android 6,0, wenn es sich bei der CN um eine IP-Adresse in einem Zertifikat handelt, sollte die IP-Adresse auch im Betreff Alternative Name (San) als IPAddress-subaltname sein. Wenn die IP-Adresse in der IPAddress-subaltname fehlt, wird die Zertifizierungs Überprüfung fehlschlagen.

Bei älteren Android-Versionen wird die Zertifizierungs Überprüfung so lange Vergehen, wie die CN-Spiele.

Resolution

Generieren Sie ein Zertifikat für globalprotect Portal/Gateway, das IPAddress-subaltname-Feld hat, und ersetzen Sie die vorhandenen Zertifikate.

Der folgende Bildschirmfoto zeigt, wie man IPAddress-Betreff Alternative Name auf der Palo Alto netrwork Firewall der nächsten Generation einsteckt.

Bei der Erstellung eines Zertifikats, fügen Sie "IP"-Typ und Eingabe der IP-Adresse als Wert in Zertifikat Attribute Feld:

IPAddress-subAltName-PANFW001. png

Das generierte Zertifikat zeigt den IP-Adress Wert in der Betreff-Alternative Namensfeld:

CERT-on-Windows-001. png

Setzen Sie dieses Zertifikat für globalprotect Portal/Gateway-Zertifikate. Danach kann die VPN-Verbindung hergestellt werden.

Bitte lesen Sie den folgenden Leitfaden für den Einsatz des globalprotect Server Zertifikats:

Server-Zertifikate für die globalprotect-Komponenten einsetzen

Ein weiterer verfügbarer Workaround ist das Entfernen des CA-Zertifikats vom Android-Telefon (in der Regel von "Einstellung > Sicherheit > vertrauenswürdige Berechtigungen").

In diesem Fall zeigt die globalprotect-App einmal die Warnmeldung "untrsuted Certificate" (wie unten gezeigt), dann wird die Verbindung hergestellt.