GlobalProtect Client schlägt mit der Fehlermeldung "Das Serverzertifikat des Gateways konnte nicht überprüft werden... "

• GlobalProtect Der Client löst die folgende Fehlermeldung aus, wenn ein Benutzer versucht, eine Verbindung herzustellen

 "Could not verify the server certificate of the gateway. If the issue persists, contact your administrator."

• Fehler bei der Zertifikatsvalidierung können in der PanGPS.log Datei angezeigt werden.

20830 02/04 09:08:07:640041 - unable to verify, index=0 
20830 02/04 09:08:07:640202 - java.security.cert.CertPathValidatorException: Trust anchor for certification path not found. 
20830 02/04 09:08:07:640332 - proceed to verify server cert against portal CAs...           
20830 02/04 09:08:07:640885 - 1322            
20830  02/0409:08:07:646400java.io.FileNotFoundException:  /data/user/0/com.paloaltonetworks.globalprotect/files/tca.cer: open failed: ENOENT (No such file or directory)
20830 02/04 09:08:07:652614 - PanHttpsClient: 1738, found exception:javax.net.ssl.SSLHandshakeException: CertPathValidatorException:,Trust anchor for certification path not found            
20830 02/04 09:08:07:652749 - PanHttpsClient: server cert error    

• Wenn Sie über einen beliebigen Browser auf dem betroffenen Computer auf das Portal URL zugreifen, wird die Zertifikatswarnung angezeigt.

• GlobalProtect App 5.2

• Das von Portal und Gateway verwendete Zertifikat wird von einer externen Zertifizierungsstelle (CA) signiert.
• Die Zertifikatskette fehlt auf dem Computer, um die Validierung abzuschließen. Beispiel
  • Root : DigiCert Global Root CACA – Das Root-Zertifikat ist auf dem Client-Computer vorhanden.
  • Mittelstufe CA: GeoTrust TLS DV RSA Mixed SHA256 2020 CA-1 – Das CA Zwischenzertifikat ist auf dem Client-Computer "nicht" verfügbar.

• Laden Sie das fehlende Zertifikat manuell herunter und installieren Sie es auf dem Benutzercomputer. Siehe CERTIFICATE CONFIG FOR GLOBALPROTECT

1. Laden Sie diese Zertifikate in die firewall 
   1. Geräte>Zertifikate > Gerätezertifikate > Import
   2. Zertifikatstyp: Lokal
   3. Zertifikatname: Geben Sie einen Zertifikatsnamen ein (z. B. Wurzel-CA)
   4. Zertifikatsdatei: Wählen Sie das heruntergeladene Zertifikat aus
   5. Klicken Sie auf ''OK
2. Führen Sie den obigen Schritt für alle Stamm- und Zwischenzertifikate aus.
3. Platzieren Sie diese hochgeladenen Zertifikate in der Portalkonfiguration, um sie herunterzuladen und auf einem Benutzercomputer zu installieren, wenn GlobalProtect eine Verbindung mit VPN.
   1. Wechseln Sie zu Network > > Portal GlobalProtect > Agent
   2. Klicken Sie auf "Hinzufügen" und wählen Sie das Root-Zertifikat CA aus.
   3. Markieren Sie das Kästchen auf 'INSTALL IN LOCAL ROOT CERTIFICATE STORE"
   4. Befolgen Sie die obigen Schritte auch für das/die Zwischenzertifikat CA (e).
4. Übernehmen Sie die Änderungen