GlobalProtect App sur Android 6.0 + ne peut pas établir une con... - Knowledge Base - Palo Alto Networks

GlobalProtect App sur Android 6.0 + ne peut pas établir une connexion VPN en utilisant l'adresse IP

40592

Created On 09/26/18 13:47 PM - Last Modified 06/07/23 19:40 PM

Symptom

Symptômes

GlobalProtect application fonctionnant sur Android 6,0 ou ultérieur ne peut pas établir la connexion VPN lorsque:

Le certificat d'autorité de certification racine pour GlobalProtect Portal/Gateway se trouve dans les informations d'identification approuvées sur le périphérique Android.
Et le GlobalProtect Portal/Gateway Certificate Common Name (CN) est l' adresse IP.

Dans ce cas, le message d'erreur suivant s'affiche: impossible de se connecter au portail GlobalProtect

Error-on-AndroidVM-001. png

GP. log à partir de GlobalProtect App affiche les erreurs suivantes:

(6227) 01/05 17:55:33:120201-javax. net. SSL. SSLPeerUnverifiedException: hostname 192.168.206.1 not verified:
 Certificate: SHA1/5BHzss0x9EpOd9YtEPZcwtCNaOQ =
 DN: CN = 192.168.206.1, St = Tokyo, C = JP
 subjectAltNames: [192.168.206.1] 
(6227) 01/05 17:55:33:120352-exception GetHttpResponse, le code de réponse est 0
(6227) 01/05 17:55:33:120521-réponse du serveur est:
null, message d'exception: nom d'hôte 192.168.206.1 pas vérifié:
 certificat: SHA1/ 5BHzss0x9EpOd9YtEPZcwtCNaOQ =
 DN: CN = 192.168.206.1, St = Tokyo, C = JP
 subjectAltNames: [192.168.206.1]
 ETYPE:javax. net. SSL. SSLPeerUnverifiedException: hostname 192.168.206.1 non vérifié:
 certificat: SHA1/ 5BHzss0x9EpOd9YtEPZcwtCNaOQ =
 DN: CN = 192.168.206.1, St = Tokyo, C = JP
 subjectAltNames: [192.168.206.1]
(6227) 01/05 17:55:33:120557-(L5) JNI, 6243, 508, not Handled, RET = Error, javax. net. SSL. SSLPeerUnverifiedException: hostname 192.168.206.1 non vérifié:
 certificat: SHA1/5BHzss0x9EpOd9YtEPZcwtCNaOQ =
 DN: CN = 192.168.206.1, St = Tokyo, C = JP
 subjectAltNames: [192.168.206.1], return null Now

Diagnostic

Ceci est dû à un nouveau comportement d'Android 6.0 +.

À partir de Android 6,0, si le CN est une adresse IP dans un certificat, l'adresse IP doit également être dans Subject Alternative Name (San) comme IPAddress subAltName. Si l'adresse IP est manquante dans IPAddress subAltName, la vérification de certification échouera.

Pour les versions plus anciennes d'Android, la vérification de certification passera aussi longtemps que le CN matches.

Resolution

Générez un certificat pour GlobalProtect Portal/Gateway qui a le champ IPAddress subAltName et remplacez les certificats existants.

La capture d'écran suivante montre comment définir le nom de l'autre sujet de l'objet IPAddress sur le pare-feu de la prochaine génération de Palo Alto Netrwork.

Lors de la génération d'un certificat, ajoutez le type «IP» et saisissez l'adresse IP comme valeur dans le champ attributs de certificat:

IPAddress-subAltName-PANFW001. png

Le certificat généré affiche la valeur de l'adresse IP dans le champ autre nom de l'objet:

CERT-on-Windows-001. png

Définissez ce certificat pour les certificats de portail/passerelle GlobalProtect. Après cela, la connexion VPN peut être établie.

Veuillez consulter le guide suivant pour déployer le certificat de serveur GlobalProtect:

Déployer des certificats de serveur sur les composants GlobalProtect

Une autre solution de contournement disponible est de supprimer le certificat de l'autorité de certification du téléphone Android (généralement à partir de "réglage > sécurité > les références de confiance").

Dans ce cas, GlobalProtect App affiche "Untrsuted certificat" message d'avertissement une fois (comme indiqué ci-dessous), puis la connexion sera établie.

Error-on-AndroidVM-001. png

Cela n'est pas recommandé en général car les utilisateurs doivent vérifier manuellement la validité du portail/passerelle de destination.

Other users also viewed:

How to download GlobalProtect from the Customer Support Portal

Download and Install the GlobalProtect App for Windows

Resource List: GlobalProtect Configuring and Troubleshooting

PAN-OS Software Updates