GlobalProtect Agente en Linux CentOS no puede conectarse a GlobalProtect Gateway

GlobalProtect Agente en Linux CentOS no puede conectarse a GlobalProtect Gateway

28291
Created On 01/06/20 04:33 AM - Last Modified 08/24/23 15:05 PM


Symptom


GP El agente de Linux CentOS no puede conectarse a gateway.

Mensajes de error encontrados
There is a problem with the security certificate, so the identity of xxxxxxx cannot be verified. Please contact the Help Desk for your organization to have the issue rectified.
Warning: The communication with xxxxxxx may have been compromised. We recommend that you do not continue with this connection.
 
Error: Gateway gateway: The server certificate is invalid. Please contact your IT administrator.
 
Error: Gateway gateway: GlobalProtect is not licensed for this feature or device. Please contact your IT administrator.


Environment


PAN-OS
Agente global de protección
GP para Linux CentOS

Cause


2 causas identificadas a este problema (una condición o ambas) :
- el certificado utilizado por no es de GP confianza.
- el certificado utilizado por GP tiene CA atributos

Resolution


Caso 1 : el GP certificado no es de confianza

Verificación

Desde el terminal, utilice curl en modo detallado en el portal URL
$ curl -vvI https://xxxxx.xxx
Debería ver este error (el número puede ser diferente, pero el significado debe ser este):
* NSS error -8172 (SEC_ERROR_UNTRUSTED_ISSUER)
* Peer's certificate issuer has been marked as not trusted by the user.
* Closing connection 0
curl: (60) Peer's certificate issuer has been marked as not trusted by the user.

Resolución

Exportar el certificado raíz CA (y el CA intermediario) desde el firewall
Abrir el terminal y realizar lo siguiente como usuario raíz (o utilizar sudo) 
# cp ~/Downloads/cert.crt /etc/pki/ca-trust-source/anchors/
# update-ca-trust extract

Caso 2 : el GP certificado tiene CA atributos

Verificación

Desde el terminal, utilice curl en modo detallado en el portal URL
$ curl -vvI https://xxxxx.xxx
Debería ver algún mensaje de error.
* NSS error -8102 (SEC_ERROR_INADEQUATE_KEY_USAGE)
* Certificate key usage inadequate for attempted operation.
* Closing connection 0
curl: (60) Certificate key usage inadequate for attempted operation.

Resolución

El certificado utilizado por GP no debe marcarse como CA .
El certificado no debe marcarse como CA
Certificado importado
Póngase en contacto con el administrador del sistema para volver a generar un nuevo certificado con CA el conjunto de atributos.
Certificado autofirmado
- Ir a la administración de > dispositivos> certificados
- Crear un nuevo certificado autofirmado, se utilizará como RootCA.
Este certificado será el que necesita importar en su tienda de CA confianza.
crear el certificado autofirmado
- crear un nuevo certificado firmado por la raíz CA
crear el nuevo certificado firmado por rootCA
Debe obtener la siguiente vista. Observará el vínculo de dependencia entre el RootCA y el nuevo certificado.
vista de certificados

Ahora, debe actualizar el SSL perfil / Servicio con el nuevo TLS certificado.
- Vaya a Device>Certificate Management> SSL / TLS Service Profile - Seleccione el perfil utilizado
SSL/ TLS Vista de perfiles de servicio
por - Cambiar el certificado con el nuevo certificado - Haga clic - Confirmar los GP

Cambiar el certificado
OK
certificado actualizado en el SSL TLS / Perfil de servicio
cambios.

Additional Information


Para comprobar la lista de CA los
# openssl x509 -noout -subject < /etc/ssl/certs/ca-bundle.crt
Es posible que deba habilitar "update-ca-trust"
# update-ca-trust enable


Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PO4FCAW&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language