GlobalProtect client échoue avec l’erreur « Impossible de vérifier le certificat de serveur de la passerelle... "
129763
Created On 04/14/22 02:27 AM - Last Modified 05/15/23 09:16 AM
Symptom
- GlobalProtect Le client affiche un message d’erreur sous lorsqu’un utilisateur tente de se connecter
"Could not verify the server certificate of the gateway. If the issue persists, contact your administrator."
- Les erreurs de validation de certificat peuvent être vues dans le fichier PanGPS.log.
20830 02/04 09:08:07:640041 - unable to verify, index=0
20830 02/04 09:08:07:640202 - java.security.cert.CertPathValidatorException: Trust anchor for certification path not found.
20830 02/04 09:08:07:640332 - proceed to verify server cert against portal CAs...
20830 02/04 09:08:07:640885 - 1322
20830 02/0409:08:07:646400java.io.FileNotFoundException: /data/user/0/com.paloaltonetworks.globalprotect/files/tca.cer: open failed: ENOENT (No such file or directory)
20830 02/04 09:08:07:652614 - PanHttpsClient: 1738, found exception:javax.net.ssl.SSLHandshakeException: CertPathValidatorException:,Trust anchor for certification path not found
20830 02/04 09:08:07:652749 - PanHttpsClient: server cert error
- Accéder au portail URL à partir de n’importe quel navigateur sur la machine concernée affichera l’avertissement de certificat.
Environment
- GlobalProtect App 5,2
Cause
- Le certificat utilisé par Portal and Gateway est signé par une autorité de certification externe (CA).
- La chaîne de certificats est manquante sur la machine pour terminer la validation. Exemple
- Racine CA: DigiCert Global Root CA - Le certificat racine est présent sur la machine cliente.
- Intermédiaire CA: GeoTrust TLS DV RSA Mixed SHA256 2020 CA-1 - Le certificat intermédiaire CA n'est pas disponible sur la machine cliente.
Resolution
Solution 1 :
- Téléchargez et installez manuellement le certificat manquant sur la machine utilisateur. Voir CERTIFICATE CONFIG FOR GLOBALPROTECT
- Téléchargez ces certificats sur le firewall
- Certificats > d’appareil > Certificats d’appareil > importation
- Type de certificat : Local
- Nom du certificat : indiquez un nom de certificat (par exemple, Racine-CA)
- Fichier de certificat : sélectionnez le certificat téléchargé
- Cliquez sur ''OK
- Suivez l’étape ci-dessus pour tous les certificats racine et intermédiaires.
- Placez ces certificats téléchargés dans la configuration du portail pour les télécharger et les installer sur une machine utilisateur lors GlobalProtect de la connexion à VPN.
- Accédez à Network > > Portal GlobalProtect > Agent
- Cliquez sur 'ajouter' et sélectionnez le certificat racine CA .
- Cochez la case 'INSTALL IN LOCAL ROOT CERTIFICATE STORE »
- Suivez également les étapes ci-dessus pour le(s) certificat(s) intermédiaire CA (s).
- Valider les modifications