Gültiges Clientzertifikat ist für GlobalProtect User Cert Auth erforderlich
107540
Created On 11/07/19 03:48 AM - Last Modified 01/27/25 20:36 PM
Symptom
Fehler beim Herstellen einer Verbindung GlobalProtect mit "Gültiges Clientzertifikat ist erforderlich" bei der Verwendung des Clientzertifikats für die Authentifizierung (Benutzerzertifikat anstelle eines Computerzertifikats).
1. Bitte bestätigen Sie, ob Sie tatsächlich ein Benutzerzertifikat für die Clientauthentifizierung
2 verwenden. Unten sind die Protokolle aufgeführt, GP die angezeigt werden, wenn die GP Verbindung fehlschlägt, wenn die firewall Blockierung von Sitzungen, wenn das Seriennummernattribut im Betreff des Clientzertifikats nicht mit dem Host übereinstimmt, ID den die App für den GlobalProtect Endpunkt
[PanGPS.log]
(T6032) 11/05/19 16:27:47:: meldet: 757 Error(5880): Pre-Login-Fehlermeldung: Gültiges Clientzertifikat erforderlich
(T6032) 11/05/19 16:27:47:757 Debug(6662): Nicht-OnDemand-Modus gültiger Client erforderlich.
(T6032) 11/05/19 16:27:47:757 Info (8111): Portal config existiert nicht, try registry/plist
(T6032) 11/05/19 16:27:47:757 Info (6676): nicht abrufwert der tag Version.
(T6032) 11/05/19 16:27:47:757 Debug(6687): Portalkonfiguration wurde nicht gptest.paloaltonetworks.com.
(T6032) 11/05/19 16:27:47:757 Debug(6715): Versuchen Sie, die letzte Portalkonfiguration aus der Datei wiederherzustellen.
(T6032) 11/05/19 16:27:47:757 Debug(6757): Abrufen der cached Portalkonfiguration für leere Benutzer
(T6032) 11/05/19 16:27:47:757 Debug(6697): Portalstatus auf gültiges Clientzertifikat festlegen.
(T6032) 11/05/19 16:27:47:757 Debug(6707): Der Portalstatus ist Client Cert Required.
(T6032) 11/05/19 16:27:47:757 Debug(6017): Portal erforderlich Client-Zertifikat wurde nicht gefunden.
3.Stellen Sie für Benutzerzertifikat sicher, dass die Option "Sitzung blockieren, wenn das Zertifikat nicht für das Authentifizierungsgerät ausgestellt wurde" deaktiviert ist.
" GlobalProtect (nur) Wählen Sie diese Option aus, wenn sie Sitzungen blockieren soll, wenn das firewall Seriennummernattribut im Betreff des Clientzertifikats nicht mit dem Host ID übereinstimmt, den die App für den GlobalProtect Endpunkt meldet. Andernfalls lässt die firewall die Sitzungen zu. Diese Option gilt nur für die GlobalProtect Zertifikatauthentifizierung."
" Der Host ID ist eine ID GlobalProtect Eindeutige, die dem Identifizieren des Hosts zugewiesen wird. Der ID Hostwert variiert je nach Gerätetyp:
Windows – GUID Computer, der in der Windows-Registrierung gespeichert ist (HKEY_Local_Machine-Software,Microsoft-Kryptografie-MachineGuid)"
Weitere Informationen zum Erstellen der Clientzertifikatauthentifizierung finden Sie in artikel
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFoCAK
https://www.youtube.com/watch?v=TFstISND5PE
Können Sie in diesem Fall eine vom betreffenden Gerät generieren TSF und hochladen?
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClRlCAK