GlobalProtect Agent sur Linux CentOS ne peut pas se connecter à GlobalProtect Gateway
35005
Created On 01/06/20 04:33 AM - Last Modified 08/24/23 15:05 PM
Symptom
GP Agent sur Linux CentOS ne peut pas se connecter à la passerelle.
Messages d’erreur rencontrés
There is a problem with the security certificate, so the identity of xxxxxxx cannot be verified. Please contact the Help Desk for your organization to have the issue rectified. Warning: The communication with xxxxxxx may have been compromised. We recommend that you do not continue with this connection.
Error: Gateway gateway: The server certificate is invalid. Please contact your IT administrator.
Error: Gateway gateway: GlobalProtect is not licensed for this feature or device. Please contact your IT administrator.
Environment
PAN-OS
Agent de
GP protection mondial pour Linux CentOS
Cause
2 causes identifiées à ce problème (une condition ou les deux) :
- le certificat utilisé par n’est pas GP fiable.
- le certificat utilisé par GP a des CA attributs
Resolution
Cas 1 : on ne GP fait pas confiance au certificat
Vérification
Depuis le terminal, utilisez curl en mode verbeux jusqu’au portail URL$ curl -vvI https://xxxxx.xxxVous devriez voir cette erreur (le nombre peut être différent, mais le sens devrait être celui-ci):
* NSS error -8172 (SEC_ERROR_UNTRUSTED_ISSUER) * Peer's certificate issuer has been marked as not trusted by the user. * Closing connection 0 curl: (60) Peer's certificate issuer has been marked as not trusted by the user.
Résolution
Exportez le certificat CA racine (et CA intermédiaire) à partir de firewalll’Open the terminal et effectuez ce qui suit en tant qu’utilisateur racine (ou utilisez sudo)
# cp ~/Downloads/cert.crt /etc/pki/ca-trust-source/anchors/ # update-ca-trust extract
Cas 2 : le GP certificat a des CA attributs
Vérification
Depuis le terminal, utilisez curl en mode verbeux jusqu’au portail URL$ curl -vvI https://xxxxx.xxxVous devriez voir un message d’erreurs.
* NSS error -8102 (SEC_ERROR_INADEQUATE_KEY_USAGE) * Certificate key usage inadequate for attempted operation. * Closing connection 0 curl: (60) Certificate key usage inadequate for attempted operation.
Résolution
Le certificat utilisé par GP ne doit pas être marqué comme CA .Certificat importé
Contactez l’administrateur système pour régénérer un nouveau certificat avec CA l’ensemble d’attributs.Certificat autosigné
- Aller à Device>Certificate Management> Certificats- Créer un nouveau certificat auto-signé, il sera utilisé comme RootCA.
Ce certificat sera celui que vous devez importer dans votre magasin de CA confiance.
- créer un nouveau certificat signé par la racine CA
Vous devriez obtenir la vue suivante. Vous remarquerez le lien de dépendance entre le RootCA et le nouveau certificat.
Maintenant, vous devez mettre à jour le SSL profil / Service avec le nouveau TLS certificat.
- Passez à device>Certificate Management> SSL / TLS Profil de service
- Sélectionnez le profil utilisé par GP
- Modifiez le certificat avec le nouveau certificat
- Cliquez - OK
Engagez les modifications.
Additional Information
Pour vérifier la liste CA des
# openssl x509 -noout -subject < /etc/ssl/certs/ca-bundle.crtVous devrez peut-être activer la « mise à jour-ca-trust »
# update-ca-trust enable