GlobalProtect Linux 中心上的代理无法连接到 GlobalProtect 网关
28285
Created On 01/06/20 04:33 AM - Last Modified 08/24/23 15:05 PM
Symptom
GP Linux 中心上的代理无法连接到网关。
遇到错误消息
There is a problem with the security certificate, so the identity of xxxxxxx cannot be verified. Please contact the Help Desk for your organization to have the issue rectified. Warning: The communication with xxxxxxx may have been compromised. We recommend that you do not continue with this connection.
Error: Gateway gateway: The server certificate is invalid. Please contact your IT administrator.
Error: Gateway gateway: GlobalProtect is not licensed for this feature or device. Please contact your IT administrator.
Environment
PAN-OS
GPLinux 中心的全球保护代理
Cause
此问题的 2 个已确定原因(一个条件或两个条件):
- 所使用的证书 GP 不可信。
-所使用的证书 GP 具有 CA 属性
Resolution
案例1: GP 证书不可信
验证
从终端,在冗长的模式下使用卷曲到门户 URL$ curl -vvI https://xxxxx.xxx您应该会看到此错误(数字可能不同,但含义应该是这个):
* NSS error -8172 (SEC_ERROR_UNTRUSTED_ISSUER) * Peer's certificate issuer has been marked as not trusted by the user. * Closing connection 0 curl: (60) Peer's certificate issuer has been marked as not trusted by the user.
分辨率
CA从打开终端导出根(和中间 CA 人)证书 firewall,并作为根用户执行以下(或使用 sudo)
# cp ~/Downloads/cert.crt /etc/pki/ca-trust-source/anchors/ # update-ca-trust extract
案例2: GP 证书具有 CA 属性
验证
从终端,在冗长的模式下使用卷曲到门户 URL$ curl -vvI https://xxxxx.xxx您应该会看到一些错误消息。
* NSS error -8102 (SEC_ERROR_INADEQUATE_KEY_USAGE) * Certificate key usage inadequate for attempted operation. * Closing connection 0 curl: (60) Certificate key usage inadequate for attempted operation.
分辨率
所使用的证书 GP 不应标记为 CA 。导入的证书
联系系统管理员,以重新生成带有属性集的新证书 CA 。自签名证书
- 转到设备>认证管理>证书- 创建新的自签名证书,它将用作 RootCA。
此证书将是您需要在您信任的商店导入的 CA 证书。
-创建由 Root 签名的新证书 CA
您应该获得以下视图。 您将注意到 RootCA 与新证书之间的依赖链接。
现在,您需要 SSL TLS 使用新证书更新/服务配置文件。
-转到设备>认证管理 SSL >/ TLS 服务配置文件
-选择 GP
使用的个人资料-使用新证书更改证书
-单击 OK
-提交更改。
Additional Information
检查 CA 手动添加的列表
# openssl x509 -noout -subject < /etc/ssl/certs/ca-bundle.crt您可能需要启用"更新-信任"
# update-ca-trust enable