GlobalProtect Linux のエージェントの CentOS はゲートウェイに接続できません GlobalProtect 。

GlobalProtect Linux のエージェントの CentOS はゲートウェイに接続できません GlobalProtect 。

28281
Created On 01/06/20 04:33 AM - Last Modified 08/24/23 15:05 PM


Symptom


GP Linux CentOS 上のエージェントはゲートウェイに接続できません。

エラー メッセージが発生しました
There is a problem with the security certificate, so the identity of xxxxxxx cannot be verified. Please contact the Help Desk for your organization to have the issue rectified.
Warning: The communication with xxxxxxx may have been compromised. We recommend that you do not continue with this connection.
 
Error: Gateway gateway: The server certificate is invalid. Please contact your IT administrator.
 
Error: Gateway gateway: GlobalProtect is not licensed for this feature or device. Please contact your IT administrator.


Environment


PAN-OS
Linux
GP CentOS 用グローバルプロテクトエージェント

Cause


2 この問題の原因を特定した (1 つまたは両方):
- によって使用される証明書 GP は信頼されていません。
- によって使用される証明書 GP には CA 属性があります

Resolution


ケース 1 : GP 証明書が信頼されていません

検証

端末から、詳細モードでカールを使用してポータルに URL
$ curl -vvI https://xxxxx.xxx
このエラーが表示されます (番号は異なる場合がありますが、意味はこれです)。
* NSS error -8172 (SEC_ERROR_UNTRUSTED_ISSUER)
* Peer's certificate issuer has been marked as not trusted by the user.
* Closing connection 0
curl: (60) Peer's certificate issuer has been marked as not trusted by the user.

解像 度

CAターミナルを開いてからルート (および中間 CA ) 証明書 firewall
をエクスポートし、root ユーザーとして次の手順を実行します (または sudo を使用します)。 
# cp ~/Downloads/cert.crt /etc/pki/ca-trust-source/anchors/
# update-ca-trust extract

ケース 2 : GP 証明書には属性があります。 CA

検証

端末から、詳細モードでカールを使用してポータルに URL
$ curl -vvI https://xxxxx.xxx
エラー メッセージが表示されます。
* NSS error -8102 (SEC_ERROR_INADEQUATE_KEY_USAGE)
* Certificate key usage inadequate for attempted operation.
* Closing connection 0
curl: (60) Certificate key usage inadequate for attempted operation.

解像 度

によって使用される証明書は GP 、 としてマークされるべきではありません CA 。
証明書を次のようにマークしないでください CA
インポートされた証明書
システム管理者に連絡して、属性セットを持つ新しい証明書を再生成 CA してください。
自己署名証明書
- デバイス>証明書管理>証明書に移動
- 新しい自己署名証明書を作成し、RootCA として使用されます。
この証明書は、信頼されたストアにインポートする必要があります CA 。
自己署名証明書を作成する
- ルートによって署名された新しい証明書 CA
RootCA によって署名された新しい証明書を作成します
を作成する次のビューを取得する必要があります。 RootCA と新しい証明書の間の依存リンクに気づくでしょう。
証明書ビュー

次に、新しい証明書を使用して SSL / TLS サービス プロファイルを更新する必要があります。
- デバイス>証明書管理 SSL >/ TLS サービス プロファイルに移動 - で
SSL/ TLS サービス プロファイル ビュー
使用されるプロファイルを選択 GP
- 新しい証明書で証明書を変更
証明書を変更する
する - クリック - OK
/ サービス SSL TLS プロファイルの更新された証明書
変更をコミットします。

Additional Information


手動で追加されたリストを確認するには CA
# openssl x509 -noout -subject < /etc/ssl/certs/ca-bundle.crt
"更新-CA-信頼" を有効にする必要がある場合があります。
# update-ca-trust enable


Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PO4FCAW&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language