GlobalProtect Agent sur Linux CentOS ne peut pas se connecter à GlobalProtect Gateway

GlobalProtect Agent sur Linux CentOS ne peut pas se connecter à GlobalProtect Gateway

28289
Created On 01/06/20 04:33 AM - Last Modified 08/24/23 15:05 PM


Symptom


GP Agent sur Linux CentOS ne peut pas se connecter à la passerelle.

Messages d’erreur rencontrés
There is a problem with the security certificate, so the identity of xxxxxxx cannot be verified. Please contact the Help Desk for your organization to have the issue rectified.
Warning: The communication with xxxxxxx may have been compromised. We recommend that you do not continue with this connection.
 
Error: Gateway gateway: The server certificate is invalid. Please contact your IT administrator.
 
Error: Gateway gateway: GlobalProtect is not licensed for this feature or device. Please contact your IT administrator.


Environment


PAN-OS
Agent de
GP protection mondial pour Linux CentOS

Cause


2 causes identifiées à ce problème (une condition ou les deux) :
- le certificat utilisé par n’est pas GP fiable.
- le certificat utilisé par GP a des CA attributs

Resolution


Cas 1 : on ne GP fait pas confiance au certificat

Vérification

Depuis le terminal, utilisez curl en mode verbeux jusqu’au portail URL
$ curl -vvI https://xxxxx.xxx
Vous devriez voir cette erreur (le nombre peut être différent, mais le sens devrait être celui-ci):
* NSS error -8172 (SEC_ERROR_UNTRUSTED_ISSUER)
* Peer's certificate issuer has been marked as not trusted by the user.
* Closing connection 0
curl: (60) Peer's certificate issuer has been marked as not trusted by the user.

Résolution

Exportez le certificat CA racine (et CA intermédiaire) à partir de firewall
l’Open the terminal et effectuez ce qui suit en tant qu’utilisateur racine (ou utilisez sudo) 
# cp ~/Downloads/cert.crt /etc/pki/ca-trust-source/anchors/
# update-ca-trust extract

Cas 2 : le GP certificat a des CA attributs

Vérification

Depuis le terminal, utilisez curl en mode verbeux jusqu’au portail URL
$ curl -vvI https://xxxxx.xxx
Vous devriez voir un message d’erreurs.
* NSS error -8102 (SEC_ERROR_INADEQUATE_KEY_USAGE)
* Certificate key usage inadequate for attempted operation.
* Closing connection 0
curl: (60) Certificate key usage inadequate for attempted operation.

Résolution

Le certificat utilisé par GP ne doit pas être marqué comme CA .
Le certificat ne doit pas être marqué comme CA
Certificat importé
Contactez l’administrateur système pour régénérer un nouveau certificat avec CA l’ensemble d’attributs.
Certificat autosigné
- Aller à Device>Certificate Management> Certificats
- Créer un nouveau certificat auto-signé, il sera utilisé comme RootCA.
Ce certificat sera celui que vous devez importer dans votre magasin de CA confiance.
créer le certificat autosigné
- créer un nouveau certificat signé par la racine CA
créer le nouveau certificat signé par le RootCA
Vous devriez obtenir la vue suivante. Vous remarquerez le lien de dépendance entre le RootCA et le nouveau certificat.
vue certificats

Maintenant, vous devez mettre à jour le SSL profil / Service avec le nouveau TLS certificat.
- Passez à device>Certificate Management> SSL / TLS Profil de service
SSL/ Vue TLS des profils de service
- Sélectionnez le profil utilisé par GP
- Modifiez le certificat avec le nouveau certificat
Modifier le certificat
- Cliquez - OK
certificat mis à jour dans le SSL / TLS Profil de service
Engagez les modifications.

Additional Information


Pour vérifier la liste CA des
# openssl x509 -noout -subject < /etc/ssl/certs/ca-bundle.crt
Vous devrez peut-être activer la « mise à jour-ca-trust »
# update-ca-trust enable


Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PO4FCAW&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language