GlobalProtect Agent unter Linux CentOS kann keine Verbindung mit Gateway herstellen GlobalProtect
28283
Created On 01/06/20 04:33 AM - Last Modified 08/24/23 15:05 PM
Symptom
GP Agent unter Linux CentOS kann keine Verbindung mit dem Gateway herstellen.
Fehlermeldungen gefunden
There is a problem with the security certificate, so the identity of xxxxxxx cannot be verified. Please contact the Help Desk for your organization to have the issue rectified. Warning: The communication with xxxxxxx may have been compromised. We recommend that you do not continue with this connection.
Error: Gateway gateway: The server certificate is invalid. Please contact your IT administrator.
Error: Gateway gateway: GlobalProtect is not licensed for this feature or device. Please contact your IT administrator.
Environment
PAN-OS
Global Protect
GP Agent für Linux CentOS
Cause
2 identifizierte Ursachen für dieses Problem (eine Bedingung oder beides) :
- das von verwendete Zertifikat wird nicht GP vertrauenswürdig.
- das von verwendete Zertifikat GP CA hat Attribute
Resolution
Fall 1: Das GP Zertifikat ist nicht vertrauenswürdig
Überprüfung
Verwenden Sie curl vom Terminal im ausführlichen Modus zum Portal URL$ curl -vvI https://xxxxx.xxxDieser Fehler sollte angezeigt werden (die Zahl kann unterschiedlich sein, aber die Bedeutung sollte dieser sein):
* NSS error -8172 (SEC_ERROR_UNTRUSTED_ISSUER) * Peer's certificate issuer has been marked as not trusted by the user. * Closing connection 0 curl: (60) Peer's certificate issuer has been marked as not trusted by the user.
entschluß
Exportieren Sie das CA Root-Zertifikat (und das CA Zwischenzertifikat) aus dem firewallTerminal Öffnen und führen Sie die folgenden Schritte als Root-Benutzer aus (oder verwenden Sie sudo)
# cp ~/Downloads/cert.crt /etc/pki/ca-trust-source/anchors/ # update-ca-trust extract
Fall 2 : Das GP Zertifikat hat CA Attribute
Überprüfung
Verwenden Sie curl vom Terminal im ausführlichen Modus zum Portal URL$ curl -vvI https://xxxxx.xxxEs sollten einige Fehler angezeigt werden.
* NSS error -8102 (SEC_ERROR_INADEQUATE_KEY_USAGE) * Certificate key usage inadequate for attempted operation. * Closing connection 0 curl: (60) Certificate key usage inadequate for attempted operation.
entschluß
Das von GP verwendete Zertifikat sollte nicht als gekennzeichnet CA werden.Importiertes Zertifikat
Wenden Sie sich an den Systemadministrator, um ein neues Zertifikat mit Attributsatz zu CA regenerieren.Selbstsigniertes Zertifikat
- Gehen Sie zu Device>Certificate Management> Zertifikate- Erstellen Sie ein neues selbstsigniertes Zertifikat, es wird als RootCA verwendet.
Dieses Zertifikat ist das Zertifikat, das Sie in Ihren vertrauenswürdigen Speicher importieren CA müssen.
- Erstellen Sie ein neues Zertifikat, das vom Stamm signiert CA
wurde. Sie sollten die folgende Ansicht erhalten. Sie werden die Abhängigkeitsverknüpfung zwischen dem RootCA und dem neuen Zertifikat bemerken.
Jetzt müssen Sie das SSL TLS /Service-Profil mit dem neuen Zertifikat aktualisieren.
- Gehen Sie zu Device>Zertifikatsverwaltung> SSL / TLS Dienstprofil
- Wählen Sie das Profil aus, das von GP
- Ändern des Zertifikats mit dem neuen Zertifikat
- Klicken Sie - Commit der OK
Änderungen.
Additional Information
So überprüfen Sie die Liste der CA manuell hinzugefügten
# openssl x509 -noout -subject < /etc/ssl/certs/ca-bundle.crtMöglicherweise müssen Sie "update-ca-trust" aktivieren.
# update-ca-trust enable