GlobalProtect Linux のエージェントの CentOS はゲートウェイに接続できません GlobalProtect 。
34999
Created On 01/06/20 04:33 AM - Last Modified 08/24/23 15:05 PM
Symptom
GP Linux CentOS 上のエージェントはゲートウェイに接続できません。
エラー メッセージが発生しました
There is a problem with the security certificate, so the identity of xxxxxxx cannot be verified. Please contact the Help Desk for your organization to have the issue rectified. Warning: The communication with xxxxxxx may have been compromised. We recommend that you do not continue with this connection.
Error: Gateway gateway: The server certificate is invalid. Please contact your IT administrator.
Error: Gateway gateway: GlobalProtect is not licensed for this feature or device. Please contact your IT administrator.
Environment
PAN-OS
Linux
GP CentOS 用グローバルプロテクトエージェント
Cause
2 この問題の原因を特定した (1 つまたは両方):
- によって使用される証明書 GP は信頼されていません。
- によって使用される証明書 GP には CA 属性があります
Resolution
ケース 1 : GP 証明書が信頼されていません
検証
端末から、詳細モードでカールを使用してポータルに URL$ curl -vvI https://xxxxx.xxxこのエラーが表示されます (番号は異なる場合がありますが、意味はこれです)。
* NSS error -8172 (SEC_ERROR_UNTRUSTED_ISSUER) * Peer's certificate issuer has been marked as not trusted by the user. * Closing connection 0 curl: (60) Peer's certificate issuer has been marked as not trusted by the user.
解像 度
CAターミナルを開いてからルート (および中間 CA ) 証明書 firewallをエクスポートし、root ユーザーとして次の手順を実行します (または sudo を使用します)。
# cp ~/Downloads/cert.crt /etc/pki/ca-trust-source/anchors/ # update-ca-trust extract
ケース 2 : GP 証明書には属性があります。 CA
検証
端末から、詳細モードでカールを使用してポータルに URL$ curl -vvI https://xxxxx.xxxエラー メッセージが表示されます。
* NSS error -8102 (SEC_ERROR_INADEQUATE_KEY_USAGE) * Certificate key usage inadequate for attempted operation. * Closing connection 0 curl: (60) Certificate key usage inadequate for attempted operation.
解像 度
によって使用される証明書は GP 、 としてマークされるべきではありません CA 。インポートされた証明書
システム管理者に連絡して、属性セットを持つ新しい証明書を再生成 CA してください。自己署名証明書
- デバイス>証明書管理>証明書に移動- 新しい自己署名証明書を作成し、RootCA として使用されます。
この証明書は、信頼されたストアにインポートする必要があります CA 。
- ルートによって署名された新しい証明書 CA
を作成する次のビューを取得する必要があります。 RootCA と新しい証明書の間の依存リンクに気づくでしょう。
次に、新しい証明書を使用して SSL / TLS サービス プロファイルを更新する必要があります。
- デバイス>証明書管理 SSL >/ TLS サービス プロファイルに移動 - で
使用されるプロファイルを選択 GP
- 新しい証明書で証明書を変更
する - クリック - OK
変更をコミットします。
Additional Information
手動で追加されたリストを確認するには CA
# openssl x509 -noout -subject < /etc/ssl/certs/ca-bundle.crt"更新-CA-信頼" を有効にする必要がある場合があります。
# update-ca-trust enable