ユーザー証明書認証には有効なクライアント証明書が必要です GlobalProtect
107550
Created On 11/07/19 03:48 AM - Last Modified 01/27/25 20:36 PM
Symptom
GlobalProtectクライアント証明書を認証に使用する場合に"有効なクライアント証明書が必要です" に接続しようとすると、エラーが発生します (マシン証明書ではなくユーザー証明書)。
1. クライアント認証 2 にユーザー証明書を使用しているかどうかを確認してください
。 以下は、 GP GP firewall クライアント証明書のサブジェクトのシリアル番号属性が ID GlobalProtect 、エンドポイント
[PanGPS.log)
(T6032) 11/05/19 16:27:47:7 のホストと一致しない場合に、接続が失敗したときに表示されるログです。 57 Error(5880): ログイン前エラー メッセージ: 有効なクライアント証明書が必要です
(T6032) 11/05/19 16:27:47:757 Debug(6662): 非オンデマンド モードの有効なクライアント証明書が必要です。
(T6032) 11/05/19 16:27:47:757 Info (8111): ポータル構成が存在しない、レジストリ/plist
(T6032) 11/05/19 16:27:47:757 情報 (6676): バージョンの値を取得できませんでした tag 。
(T6032) 11/05/19 16:27:47:757 デバッグ(6687): ポータル gptest.paloaltonetworks.com からポータル構成を取得できませんでした。
(T6032) 11/05/19 16:27:47:757 デバッグ(6715): ファイルから最後のポータル構成を復元します。
(T6032) 11/05/19 16:27:47:757 Debug(6757): 空のユーザーのキャッシュされたポータル構成の取得をスキップ
する (T6032) 11/05/19 16:27:47:757 デバッグ(6697): ポータルの状態を有効なクライアント証明書に設定する必要があります。
(T6032) 11/05/19 16:27:47:757 デバッグ(6707): ポータルのステータスはクライアント証明書が必要です。
(T6032) 11/05/19 16:27:47:757 デバッグ(6017): ポータルの必須クライアント証明書が見つかりません。
3.[ユーザー証明書] で、[認証デバイスに対して証明書が発行されていない場合はセッションをブロックする] オプションがオフになっていることを確認
します。( GlobalProtect のみ) firewall クライアント証明書のサブジェクトのシリアル番号属性が、エンドポイントのアプリが報告するホストと一致しない場合にセッションをブロックする場合は、このオプション ID GlobalProtect を選択します。 それ以外の場合は、 firewall セッションが許可されます。 このオプションは GlobalProtect 、証明書認証にのみ適用されます
。ホスト ID は、ホストを ID GlobalProtect 識別するために割り当てられる一意です。 ホスト ID 値はデバイスの種類によって異なります:
Windows - Windows GUID レジストリに格納されているコンピューター (HKEY_Local_Machine\ソフトウェア\マイクロソフト\暗号化\MachineGuid)"https://www.youtube.com/watch?v=TFstISND5PE
問題のデバイス
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFoCAK
からを生成 TSF してアップロードすることはできますか?
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClRlCAK