Se requiere un certificado de cliente válido para GlobalProtect user Cert Auth

Se requiere un certificado de cliente válido para GlobalProtect user Cert Auth

107448
Created On 11/07/19 03:48 AM - Last Modified 01/27/25 20:36 PM


Symptom


Error visto al intentar conectar GlobalProtect "Se requiere un certificado de cliente válido" al usar el certificado de cliente para la autenticación (certificado de usuario en lugar de un certificado de máquina).. 

1. Confirme si de hecho está utilizando un certificado de usuario para la autenticación de cliente

2. A continuación se muestran los GP registros vistos cuando se produce un error en la conexión cuando se produce un error en las GP sesiones de bloques cuando el atributo de número de serie en el asunto del certificado firewall de cliente no coincide con el host que la aplicación ID GlobalProtect notifica para el punto de conexión

[PanGPS.log]
(T6032) 11/05/19 16:27:47:7 57 Error(5880): mensaje de error previo al inicio de sesión: Se requiere un certificado de cliente válido
(T6032) 11/05/19 16:27:47:757 Debug(6662): Se requiere un certificado de cliente válido en modo Non-OnDemand.
(T6032) 11/05/19 16:27:47:757 Info (8111): La configuración del portal no existe, pruebe registro/plist
(T6032) 11/05/19 16:27:47:757 Info (6676): no pudo recuperar el valor de la tag versión.
(T6032) 11/05/19 16:27:47:757 Debug(6687): No se pudo obtener la configuración del portal del portal gptest.paloaltonetworks.com.
(T6032) 11/05/19 16:27:47:757 Debug(6715): Intente restaurar la última configuración del portal desde el archivo.
(T6032) 11/05/19 16:27:47:757 Debug(6757): Omitir recuperar la configuración del portal almacenado en caché para el usuario vacío
(T6032) 11/05/19 16:27:47:757 Debug(6697): Establezca el estado del portal en el certificado de cliente válido necesario.
(T6032) 11/05/19 16:27:47:757 Debug(6707): se requiere el estado del portal del cliente Cert.
(T6032) 11/05/19 16:27:47:757 Debug(6017): No se encuentra el certificado de cliente requerido del portal.


3.Para el certificado de usuario, asegúrese de que la opción "Bloquear sesión si el certificado no se emitió al dispositivo de autenticación" está desactivada.

" ( GlobalProtect solamente) Seleccione esta opción si desea firewall bloquear sesiones cuando el atributo de número de serie en el asunto del certificado de cliente no coincide con el host ID que la aplicación GlobalProtect notifica para el punto de conexión. De lo contrario, permite firewall las sesiones. Esta opción solo se aplica a la GlobalProtect autenticación de certificados."

El host ID es único que asigna para identificar el ID GlobalProtect host. El valor del host ID varía según el tipo de dispositivo:
Windows— Máquina almacenada en el Registro GUID de Windows (HKEY_Local_Machine\Software\Microsoft\Cryptography\MachineGuid)"

Imagen de usuario añadido


Obtenga más información sobre cómo crear la autenticación de certificados de cliente a partir del siguiente artículo
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFoCAK
https://www.youtube.com/watch?v=TFstISND5PE

¿Puede generar un dispositivo en cuestión TSF y cargarlo en este caso?
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClRlCAK
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PNNLCA4&lang=es%E2%80%A9&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language