GlobalProtect El cliente falla con el error "No se pudo comprobar el certificado de servidor de la puerta de enlace... "

• GlobalProtect El cliente arroja el siguiente mensaje de error cuando un usuario intenta conectarse

 "Could not verify the server certificate of the gateway. If the issue persists, contact your administrator."

• Los errores de validación de certificados se pueden ver en el archivo PanGPS.log.

20830 02/04 09:08:07:640041 - unable to verify, index=0 
20830 02/04 09:08:07:640202 - java.security.cert.CertPathValidatorException: Trust anchor for certification path not found. 
20830 02/04 09:08:07:640332 - proceed to verify server cert against portal CAs...           
20830 02/04 09:08:07:640885 - 1322            
20830  02/0409:08:07:646400java.io.FileNotFoundException:  /data/user/0/com.paloaltonetworks.globalprotect/files/tca.cer: open failed: ENOENT (No such file or directory)
20830 02/04 09:08:07:652614 - PanHttpsClient: 1738, found exception:javax.net.ssl.SSLHandshakeException: CertPathValidatorException:,Trust anchor for certification path not found            
20830 02/04 09:08:07:652749 - PanHttpsClient: server cert error    

• Acceder al portal URL desde cualquier navegador en la máquina afectada mostrará la advertencia de certificado.

• GlobalProtect App 5,2

• El certificado utilizado por Portal y Gateway está firmado por una entidad emisora de certificados externa (CA).
• Falta la cadena de certificados en el equipo para completar la validación. Ejemplo
  • Raíz CA: DigiCert Global Root CA - El certificado raíz está presente en el equipo cliente.
  • Intermedio CA: GeoTrust TLS DV RSA Mixed SHA256 2020 CA-1 - El certificado intermedio CA "no" está disponible en la máquina cliente.

• Descargue e instale manualmente el certificado que falta en el equipo del usuario. Ver CERTIFICATE CONFIG FOR GLOBALPROTECT

1. Cargue estos certificados en el firewall 
   1. Certificados > de dispositivos > Certificados de dispositivo > importación
   2. Tipo de certificado: Local
   3. Nombre del certificado: Asigne un nombre de certificado (por ejemplo, Raíz-CA)
   4. Archivo de certificado: Seleccione el certificado descargado
   5. Haga clic en ''OK
2. Siga el paso anterior para todos los certificados raíz e intermedios.
3. Coloque estos certificados cargados en la configuración del portal para descargarlos e instalarlos en un equipo de usuario cuando GlobalProtect se conecte a VPN.
   1. Vaya a > de red > Portal GlobalProtect > Agent
   2. Haga clic en 'agregar' y seleccione el certificado raíz CA .
   3. Marque la casilla para 'INSTALL IN LOCAL ROOT CERTIFICATE STORE"
   4. Siga los pasos anteriores para los certificados intermedios CA también.
4. Confirmar los cambios