GlobalProtect El cliente falla con el error "No se pudo comprobar el certificado de servidor de la puerta de enlace... "
129720
Created On 04/14/22 02:27 AM - Last Modified 05/15/23 09:17 AM
Symptom
- GlobalProtect El cliente arroja el siguiente mensaje de error cuando un usuario intenta conectarse
"Could not verify the server certificate of the gateway. If the issue persists, contact your administrator."
- Los errores de validación de certificados se pueden ver en el archivo PanGPS.log.
20830 02/04 09:08:07:640041 - unable to verify, index=0
20830 02/04 09:08:07:640202 - java.security.cert.CertPathValidatorException: Trust anchor for certification path not found.
20830 02/04 09:08:07:640332 - proceed to verify server cert against portal CAs...
20830 02/04 09:08:07:640885 - 1322
20830 02/0409:08:07:646400java.io.FileNotFoundException: /data/user/0/com.paloaltonetworks.globalprotect/files/tca.cer: open failed: ENOENT (No such file or directory)
20830 02/04 09:08:07:652614 - PanHttpsClient: 1738, found exception:javax.net.ssl.SSLHandshakeException: CertPathValidatorException:,Trust anchor for certification path not found
20830 02/04 09:08:07:652749 - PanHttpsClient: server cert error
- Acceder al portal URL desde cualquier navegador en la máquina afectada mostrará la advertencia de certificado.
Environment
- GlobalProtect App 5,2
Cause
- El certificado utilizado por Portal y Gateway está firmado por una entidad emisora de certificados externa (CA).
- Falta la cadena de certificados en el equipo para completar la validación. Ejemplo
- Raíz CA: DigiCert Global Root CA - El certificado raíz está presente en el equipo cliente.
- Intermedio CA: GeoTrust TLS DV RSA Mixed SHA256 2020 CA-1 - El certificado intermedio CA "no" está disponible en la máquina cliente.
Resolution
Solución 1:
- Descargue e instale manualmente el certificado que falta en el equipo del usuario. Ver CERTIFICATE CONFIG FOR GLOBALPROTECT
- Cargue estos certificados en el firewall
- Certificados > de dispositivos > Certificados de dispositivo > importación
- Tipo de certificado: Local
- Nombre del certificado: Asigne un nombre de certificado (por ejemplo, Raíz-CA)
- Archivo de certificado: Seleccione el certificado descargado
- Haga clic en ''OK
- Siga el paso anterior para todos los certificados raíz e intermedios.
- Coloque estos certificados cargados en la configuración del portal para descargarlos e instalarlos en un equipo de usuario cuando GlobalProtect se conecte a VPN.
- Vaya a > de red > Portal GlobalProtect > Agent
- Haga clic en 'agregar' y seleccione el certificado raíz CA .
- Marque la casilla para 'INSTALL IN LOCAL ROOT CERTIFICATE STORE"
- Siga los pasos anteriores para los certificados intermedios CA también.
- Confirmar los cambios