GlobalProtect App sur Android 6.0 + ne peut pas établir une connexion VPN en utilisant l'adresse IP
Symptom
Symptômes
GlobalProtect application fonctionnant sur Android 6,0 ou ultérieur ne peut pas établir la connexion VPN lorsque:
- Le certificat d'autorité de certification racine pour GlobalProtect Portal/Gateway se trouve dans les informations d'identification approuvées sur le périphérique Android.
- Et le GlobalProtect Portal/Gateway Certificate Common Name (CN) est l' adresse IP.
Dans ce cas, le message d'erreur suivant s'affiche: impossible de se connecter au portail GlobalProtect
GP. log à partir de GlobalProtect App affiche les erreurs suivantes:
(6227) 01/05 17:55:33:120201-javax. net. SSL. SSLPeerUnverifiedException: hostname 192.168.206.1 not verified:
Certificate: SHA1/5BHzss0x9EpOd9YtEPZcwtCNaOQ =
DN: CN = 192.168.206.1, St = Tokyo, C = JP
subjectAltNames: [192.168.206.1]
(6227) 01/05 17:55:33:120352-exception GetHttpResponse, le code de réponse est 0
(6227) 01/05 17:55:33:120521-réponse du serveur est:
null, message d'exception: nom d'hôte 192.168.206.1 pas vérifié:
certificat: SHA1/ 5BHzss0x9EpOd9YtEPZcwtCNaOQ =
DN: CN = 192.168.206.1, St = Tokyo, C = JP
subjectAltNames: [192.168.206.1]
ETYPE:javax. net. SSL. SSLPeerUnverifiedException: hostname 192.168.206.1 non vérifié:
certificat: SHA1/ 5BHzss0x9EpOd9YtEPZcwtCNaOQ =
DN: CN = 192.168.206.1, St = Tokyo, C = JP
subjectAltNames: [192.168.206.1]
(6227) 01/05 17:55:33:120557-(L5) JNI, 6243, 508, not Handled, RET = Error, javax. net. SSL. SSLPeerUnverifiedException: hostname 192.168.206.1 non vérifié:
certificat: SHA1/5BHzss0x9EpOd9YtEPZcwtCNaOQ =
DN: CN = 192.168.206.1, St = Tokyo, C = JP
subjectAltNames: [192.168.206.1], return null Now
Resolution
Générez un certificat pour GlobalProtect Portal/Gateway qui a le champ IPAddress subAltName et remplacez les certificats existants.
La capture d'écran suivante montre comment définir le nom de l'autre sujet de l'objet IPAddress sur le pare-feu de la prochaine génération de Palo Alto Netrwork.
Lors de la génération d'un certificat, ajoutez le type «IP» et saisissez l'adresse IP comme valeur dans le champ attributs de certificat:
Le certificat généré affiche la valeur de l'adresse IP dans le champ autre nom de l'objet:
Définissez ce certificat pour les certificats de portail/passerelle GlobalProtect. Après cela, la connexion VPN peut être établie.
Veuillez consulter le guide suivant pour déployer le certificat de serveur GlobalProtect:
Déployer des certificats de serveur sur les composants GlobalProtect
Une autre solution de contournement disponible est de supprimer le certificat de l'autorité de certification du téléphone Android (généralement à partir de "réglage > sécurité > les références de confiance").
Dans ce cas, GlobalProtect App affiche "Untrsuted certificat" message d'avertissement une fois (comme indiqué ci-dessous), puis la connexion sera établie.
Cela n'est pas recommandé en général car les utilisateurs doivent vérifier manuellement la validité du portail/passerelle de destination.