GlobalProtect 代理登录前即使在导入专用 PKI 证书后也失败

问题

即使在客户手动导入本地证书存储上的专用 PKI 证书后, GlobalProtect 代理登录前也会失败。

由于以下错误, 试图连接 GlobalProtect 代理登录前将无法连接:

(T2796) 06/19/14 10:52:15:442 调试 (3233): 未能预先登录到门户网站<GATEWAY-IP-ADDRESS>.</GATEWAY-IP-ADDRESS> 错误12186

原因

此问题可能是由于以拖放方式手动导入专用 PKI 证书所致。

例如, 在 Microsoft 管理控制台 (MMC) 上:

1. 拖放机-证书到本地计算机 > 个人 > 证书
2. 将根 CA 证书拖放到当前用户 > 受信任的根证书颁发机构 > 证书
3. 将根 CA 证书复制并粘贴到本地计算机 >> 受信任的根证书颁发机构 > 证书

手动拖放证书时, 某些证书属性/字段可能丢失。因此, 这不是安装证书的推荐过程。

解决办法

导入证书的正确方法是使用 GPO 安装证书或手动安装证书。

下面的示例来自 Windows7 计算机:

1. 在 MMC 上删除以前不正确的机器证书和根 CA 证书。
2. 右键单击本地计算机 > 个人 > 证书, 所有任务 > 导入, 导入机器证书。
3. 右键单击当前用户 > 受信任的根证书颁发机构 >> 证书, 所有任务 > 导入, 导入根 CA 证书。
4. 右键单击本地计算机 > 受信任的根证书颁发机构 >> 证书, 所有任务 > 导入, 导入根 CA 证书。
5. 卸载 GlobalProtect 代理。
6. 重新安装 GlobalProtect 代理, 重新配置 GlobalProtect 并连接。

所有者： jlunario