GlobalProtect Auth schlägt fehl, wenn Client Cert einen besonderen Charakter im Betreff hat (gemeinsamer Name)

• GlobalProtect konfiguriert mit nur zertifikatbasierter Authentifizierung
• Zertifikatprofil ist mit Benutzername-Feld als Betreff konfiguriert (Gemeinsamer Name)
• Wenn das Portal angemeldet versucht wird, einen Webbrowser zu verwenden, wird die Option aufgefordert, das Clientzertifikat auszuwählen.
• Bei Auswahl des richtigen Zertifikats wird aufgefordert:"Gültiges Clientzertifikat ist erforderlich"
• Zertifikat mit Common Name ohne Sonderzeichen funktioniert gut
• Clientcomputer, der mit Client Cert mit common Name mit sonderseitigem Zeichen installiert ist, kann nicht mit dem folgenden Fehler verbunden werden:

Connection Failed: The server certificate is invalid. Please contact your administrator

• Wenn Sie das appweb3-sslvpn.log (durch Navigieren zum var >-Log >-Pan > appweb3-sslvpn.log Verzeichnis der Tech-Support-Datei) überprüfen, wird der folgende Logeintrag unten angezeigt.

2020-06-25 17:34:32.824 -0700 Error:  sslvpn_field_filter_check(sslvpn_field_filter.c:183): sslvpn user input for user-name is not allowed (support+it).
2020-06-25 17:34:32.824 -0700 Error:  panGlobalProtectPreLogin(panPhpGlobalProtect.c:1597): panGlobalProtectPreLogin error: cert_present: no 

• GlobalProtect nur mit zertifikatbasierter Authentifizierung konfiguriert.
• Das Zertifikatprofil ist mit dem Benutzernamenfeld als Betreff (Gemeinsamer Name) konfiguriert.

1. Active Directory-Benutzer- und Gruppennamen dürfen keines der Zeichen in der Klammer enthalten (/ - [ ] : ; | = , + * ? < > ").
2. Diese können auf dem Client-Zertifikatsantragsteller nicht unterstützt werden, wenn nur die Zertifizierung authentifizierung konfiguriert ist, wodurch der Benutzername aus dem allgemeinen Namen abgerufen wird.

1. Verwenden Sie kein Clientzertifikat mit einem gemeinsamen Namen, der Sonderzeichen enthält : ; | = , + * ? < > ", da sie nicht unterstützt werden.