用户证书 Auth 需要有效的客户端证书 GlobalProtect
107532
Created On 11/07/19 03:48 AM - Last Modified 01/27/25 20:36 PM
Symptom
GlobalProtect使用客户端证书进行身份验证(用户证书而不是机器证书)时,在尝试连接"需要有效客户端证书"时看到的错误。
1. 请确认您是否确实在使用用户证书进行客户身份验证
2。 当 GP GP firewall 客户证书主题中的序列号属性与 ID GlobalProtect 应用报告的端点
[PanGPS.log)
(T6032) 11/05/19 16:27:47:7 的主机不匹配时,当连接出现故障时看到的日志 57 错误 (5880): 预登录错误消息: 需要有效客户证书
(T6032) 11/05/19 16:27:47:757 Debug (6662): 需要非按需模式有效客户证。
(T6032) 11/05/19 16:27:47:757 信息 (8111): 门户配置不存在,请尝试注册表/列表
(T6032) 11/05/19 16:27:47:757 信息 (6676): 未能检索 tag 版本值。
(T6032) 11/05/19 16:27:47:757 Debug (6687): 未能从门户 gptest.paloaltonetworks.com 获取门户配置。
(T6032) 11/05/19 16:27:47:757 Debug (6715): 尝试从文件中恢复最后一个门户配置。
(T6032) 11/05/19 16:27:47:757 Debug (6757): 跳过检索空用户缓存的门户配置
(T6032) 11/05/19 16:27:47:757 Debug (6697): 将门户状态设置为所需的有效客户证。
(T6032) 11/05/19 16:27:47:757 Debug (6707): 门户状态是客户端证书要求。
(T6032) 11/05/19 16:27:47:757 Debug (6017): 找不到门户所需的客户端证书。
3.对于用户证书,请确保"未向身份验证设备签发证书时阻止会话"选项不受
检查。( GlobalProtect 仅) 如果您希望 firewall 在客户端证书主题中的序列号属性与 ID GlobalProtect 应用报告端点的主机不匹配时阻止会话,请选择此选项。 否则, firewall 允许会话。 此选项仅适用于 GlobalProtect 证书认证。
主机 ID 是一个独特的 ID 分配 GlobalProtect 来识别主机。 主机 ID 值因设备类型而异
:Windows- GUID 存储在 Windows 注册表中的机器(HKEY_Local_Machine/软件/微软/密码学/机器指南)"
了解更多有关如何从以下文章创建客户端证书认证
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFoCAK https://www.youtube.com/watch?v=TFstISND5PE
您能否 TSF 从有关设备生成并上传到此案例?
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClRlCAK