Un certificat client valide est requis pour GlobalProtect l’utilisateur Cert Auth

Un certificat client valide est requis pour GlobalProtect l’utilisateur Cert Auth

107652
Created On 11/07/19 03:48 AM - Last Modified 01/27/25 20:36 PM


Symptom


Erreur constatée lorsque vous essayez de connecter GlobalProtect « Certificat client valide est nécessaire » lors de l’utilisation du certificat client pour l’authentification (certificat d’utilisateur plutôt que d’un certificat de machine).. 

1. Veuillez confirmer si vous utilisez effectivement un certificat utilisateur pour l’authentification client

2. Voici les journaux vus lorsque la connexion échoue lorsque les sessions de blocs lorsque le numéro de série attribue dans le sujet du GP certificat client ne correspond pas à GP firewall l’hôte ID que GlobalProtect l’application signale pour le point

de terminaison [PanGPS.log]
(T6032) 11/05/19 16:27:47:7 57 Erreur(5880) : message d’erreur de pré-connexion : Un certificat client valide
est requis (T6032) 11/05/19 16:27:47:757 Debug(6662) : Le cert client valide en mode Non-OnDemand est requis.
(T6032) 11/05/19 16:27:47:757 Info (8111): Portal config n’existe pas, essayez registry/plist
(T6032) 11/05/19 16:27:47:757 Info (6676): n’a pas récupéré la valeur de la tag version.
(T6032) 11/05/19 16:27:47:757 Debug(6687): N’a pas réussi à obtenir config portail de portail gptest.paloaltonetworks.com.
(T6032) 11/05/19 16:27:47:757 Debug(6715): Essayez de restaurer le dernier portail config du fichier.
(T6032) 11/05/19 16:27:47:757 Debug(6757): Saut récupérer la configuration du portail mis en cache pour l’utilisateur
vide (T6032) 11/05/19 16:27:47:757 Debug (6697): Définir l’état du portail pour valider cert client nécessaire.
(T6032) 11/05/19 16:27:47:757 Debug (6707): l’état du portail est Client Cert Requis.
(T6032) 11/05/19 16:27:47:757 Debug(6017): Le certificat de client requis par portal n’est pas trouvé.


3.Pour le certificat d’utilisateur, assurez-vous que l’option « Bloquer la session si le certificat n’a pas été délivré à l’appareil d’authentification » n’est pas

contrôlée. ( GlobalProtect seulement) Sélectionnez cette option si vous souhaitez bloquer firewall les sessions lorsque l’attribut de numéro de série dans l’objet du certificat client ne correspond pas à l’hôte ID que GlobalProtect l’application signale pour le point final. Sinon, le firewall permet les sessions. Cette option ne s’applique qu’à GlobalProtect l’authentification des

certificats. ID L’hôte est un unique qui ID GlobalProtect assigne pour identifier l’hôte. La valeur de ID l’hôte varie selon le type d’appareil :
Windows—Machine GUID stockée dans le registre Windows (HKEY_Local_Machine\Software\Microsoft\Cryptography\MachineGuid) » En savoir plus sur la façon de créer l’authentification du certificat client à partir de

Image ajoutée par l'utilisateur



l’article ci-dessous https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFoCAK
https://www.youtube.com/watch?v=TFstISND5PE

Pouvez-vous générer un à partir de TSF l’appareil en question et télécharger sur ce cas?
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClRlCAK
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PNNLCA4&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language