GlobalProtect クライアント証明書の件名に特殊文字が含まれる場合に認証が失敗する (共通名)
27935
Created On 04/22/19 14:59 PM - Last Modified 03/26/21 17:39 PM
Symptom
- GlobalProtect 証明書ベースの認証のみで構成
- 証明書プロファイルは、ユーザー名フィールドをサブジェクトとして設定します (共通名)
- ポータルのログインが Web ブラウザーを使用して試行されると、クライアント証明書の選択を求めるプロンプトが表示されます。
- 正しい証明書を選択すると、「有効なクライアント証明書が必要です」というプロンプトが表示されます。
- 特殊文字を使用しない共通名の証明書は正常に動作します
- 特殊文字を含む共通名を持つクライアント証明書と共にインストールされたクライアントマシンは、以下のエラーで接続できません:
Connection Failed: The server certificate is invalid. Please contact your administrator
- appweb3-sslvpn.logを確認すると.log (テクニカルサポートファイルのappweb3-sslvpn.logディレクトリ>のvar >ログ >にナビゲートして見つけます)は、以下のログエントリを以下に表示します(
注: この例では、クライアント証明書には共通名"support+it"が付いています。
2020-06-25 17:34:32.824 -0700 Error: sslvpn_field_filter_check(sslvpn_field_filter.c:183): sslvpn user input for user-name is not allowed (support+it).
2020-06-25 17:34:32.824 -0700 Error: panGlobalProtectPreLogin(panPhpGlobalProtect.c:1597): panGlobalProtectPreLogin error: cert_present: no
Environment
- GlobalProtect 証明書ベースの認証のみを使用して構成されます。
- 証明書プロファイルは、ユーザー名フィールドをサブジェクト (共通名) として設定します。
Cause
- Active Directory のユーザー名とグループ名には、かっこ内の文字を含めることはできません (/ \ [ ] : ; | = , + * ? < > ").
- 証明書のみの認証が構成されている場合、クライアント証明書サブジェクトでは、これらの証明書はサポートされません。
Resolution
- クライアント証明書には、特殊文字を含む共通名を使用しないでください / \ [ ] : ; | = , + * ? < > 」 はサポートされていないので、