GlobalProtect client échoue avec l’erreur « Impossible de vérifier le certificat de serveur de la passerelle... "

• GlobalProtect Le client affiche un message d’erreur sous lorsqu’un utilisateur tente de se connecter

 "Could not verify the server certificate of the gateway. If the issue persists, contact your administrator."

• Les erreurs de validation de certificat peuvent être vues dans le fichier PanGPS.log.

20830 02/04 09:08:07:640041 - unable to verify, index=0 
20830 02/04 09:08:07:640202 - java.security.cert.CertPathValidatorException: Trust anchor for certification path not found. 
20830 02/04 09:08:07:640332 - proceed to verify server cert against portal CAs...           
20830 02/04 09:08:07:640885 - 1322            
20830  02/0409:08:07:646400java.io.FileNotFoundException:  /data/user/0/com.paloaltonetworks.globalprotect/files/tca.cer: open failed: ENOENT (No such file or directory)
20830 02/04 09:08:07:652614 - PanHttpsClient: 1738, found exception:javax.net.ssl.SSLHandshakeException: CertPathValidatorException:,Trust anchor for certification path not found            
20830 02/04 09:08:07:652749 - PanHttpsClient: server cert error    

• Accéder au portail URL à partir de n’importe quel navigateur sur la machine concernée affichera l’avertissement de certificat.

• GlobalProtect App 5,2

• Le certificat utilisé par Portal and Gateway est signé par une autorité de certification externe (CA).
• La chaîne de certificats est manquante sur la machine pour terminer la validation. Exemple
  • Racine CA: DigiCert Global Root CA - Le certificat racine est présent sur la machine cliente.
  • Intermédiaire CA: GeoTrust TLS DV RSA Mixed SHA256 2020 CA-1 - Le certificat intermédiaire CA n'est pas disponible sur la machine cliente.

• Téléchargez et installez manuellement le certificat manquant sur la machine utilisateur. Voir CERTIFICATE CONFIG FOR GLOBALPROTECT

1. Téléchargez ces certificats sur le firewall 
   1. Certificats > d’appareil > Certificats d’appareil > importation
   2. Type de certificat : Local
   3. Nom du certificat : indiquez un nom de certificat (par exemple, Racine-CA)
   4. Fichier de certificat : sélectionnez le certificat téléchargé
   5. Cliquez sur ''OK
2. Suivez l’étape ci-dessus pour tous les certificats racine et intermédiaires.
3. Placez ces certificats téléchargés dans la configuration du portail pour les télécharger et les installer sur une machine utilisateur lors GlobalProtect de la connexion à VPN.
   1. Accédez à Network > > Portal GlobalProtect > Agent
   2. Cliquez sur 'ajouter' et sélectionnez le certificat racine CA .
   3. Cochez la case 'INSTALL IN LOCAL ROOT CERTIFICATE STORE »
   4. Suivez également les étapes ci-dessus pour le(s) certificat(s) intermédiaire CA (s).
4. Valider les modifications