HIP profil pour la vérification de certificat avec les attributs de certificat ne fonctionne pas comme prévu
6384
Created On 06/17/21 19:31 PM - Last Modified 10/11/24 21:40 PM
Symptom
- HIP le profil pour la vérification de certificat avec les attributs de certificat ne correspond pas au trafic utilisateur respectif.
- Les attributs de certificat incluent l’objet, l’émetteur, etc.
- La correspondance de profil respective HIP étant attachée à la sécurité et toujours les logs de correspondance policy HIP n’affichant pas le trafic utilisateur.
Environment
- GlobalProtect HIP match (match)
- HIP Journaux de correspondance ne s’affichant pas
Cause
- HIP Objet pour valider la vérification de certificat, avec la valeur d’attribut de certificat configurée simplement comme le nom commun comme ci-dessous :
Resolution
- Vérifiez le champ de valeur exacte de l’objet et de l’émetteur entre le <value></value> rapport avec la commande HIP ci-dessous.
- Accédez à Objets > GlobalProtect > HIP objets > hip -object> > Certificat
- Placez la valeur complète dans le champ Valeur comme indiqué ci-dessous :
<entry name="subject"><value>/CN=client-cert</value>
</entry><entry name="issuer"><value>/CN=GlobalProtect</value>
Additional Information
- Avec ce qui précède, vérifiez toujours si le profil de certificat correct a été attaché à HIP l’objet pour tout type de problèmes d’incompatibilité de HIP journal.