GlobalProtect エージェントあいさつ用プライベート PKI 証明書をインポートしても失敗する

問題

GlobalProtect エージェントあいさつ用は、お客様がローカルの証明書ストアにプライベート PKI 証明書を手動でインポートした後でも失敗します。

GlobalProtect エージェントあいさつ用を接続しようとすると、次のエラーのため接続に失敗します。

(T2796) 06/19/14 10:52:15:442 デバッグ (3233): ポータルへの事前ログインに失敗しました<GATEWAY-IP-ADDRESS>。</GATEWAY-IP-ADDRESS> エラー12186

原因

この問題は、ドラッグアンドドロップ方式でプライベート PKI 証明書を手動でインポートした場合に発生することがあります。

たとえば、Microsoft 管理コンソール (MMC) では、次のようになります。

1. マシン証明書をローカルコンピュータにドラッグアンドドロップする > [個人] > [証明書]
2. ルート CA 証明書を現在のユーザーにドラッグアンドドロップする > 信頼されたルート証明機関 > 証明書
3. ルート CA 証明書をローカルコンピュータにコピーして貼り付ける > 信頼されたルート証明機関 > 証明書

手動で証明書をドラッグアンドドロップすると、一部の証明書属性/フィールドが欠落している可能性があります。したがって、これは証明書をインストールするための推奨手順ではありません。

解決方法

証明書をインポートする正しい方法は、GPO インストール証明書または手動インストール証明書のどちらかです。

以下の例は、Windows7 のマシンからです:

1. MMC で以前の不適切なコンピュータ証明書とルート CA 証明書を削除します。
2. [ローカルコンピュータ]、[個人]、[証明書]、[すべてのタスク]、[インポート] の順にクリックして、コンピュータ証明書をインポートします。
3. [現在のユーザー]、[信頼されたルート証明機関]、[証明書]、[すべてのタスク]、[インポート] の順にクリックして、ルート CA 証明書をインポートします。
4. [ローカルコンピュータ] > [信頼されたルート証明機関] > [証明書]、[すべてのタスク]、[インポート] の順にクリックして、ルート CA 証明書をインポートします。
5. GlobalProtect エージェントをアンインストールします。
6. GlobalProtect エージェントを再インストールし、GlobalProtect を再構成して接続します。

所有者: jlunario