GlobalProtect クライアントが「ゲートウェイのサーバー証明書を検証できませんでした...」というエラーで失敗する
129819
Created On 04/14/22 02:27 AM - Last Modified 05/15/23 09:29 AM
Symptom
- GlobalProtect ユーザーが接続しようとすると、クライアントが以下のエラー メッセージをスローします
"Could not verify the server certificate of the gateway. If the issue persists, contact your administrator."
- 証明書検証エラーは PanGPS.log ファイルで確認できます。
20830 02/04 09:08:07:640041 - unable to verify, index=0
20830 02/04 09:08:07:640202 - java.security.cert.CertPathValidatorException: Trust anchor for certification path not found.
20830 02/04 09:08:07:640332 - proceed to verify server cert against portal CAs...
20830 02/04 09:08:07:640885 - 1322
20830 02/0409:08:07:646400java.io.FileNotFoundException: /data/user/0/com.paloaltonetworks.globalprotect/files/tca.cer: open failed: ENOENT (No such file or directory)
20830 02/04 09:08:07:652614 - PanHttpsClient: 1738, found exception:javax.net.ssl.SSLHandshakeException: CertPathValidatorException:,Trust anchor for certification path not found
20830 02/04 09:08:07:652749 - PanHttpsClient: server cert error
- ポータルにアクセスするURL影響を受けるマシン上のブラウザから実行すると、証明書の警告が表示されます。
Environment
- GlobalProtect App 5.2
Cause
- ポータルとゲートウェイで使用される証明書は、外部の認証局 (CA )。
- 検証を完了するには、マシンに証明書チェーンがありません。 例
- 根CA: DigiCert グローバル ルートCA- ルート証明書がクライアント マシンに存在します。
- 中級CA: ジオトラストTLS DV RSA混合 SHA256 2020CA-1 - 中級CA証明書はクライアント マシンで使用できません。
Resolution
解決策 1:
- 不足している証明書をユーザー マシンに手動でダウンロードしてインストールします。 見るCERTIFICATE CONFIG FOR GLOBALPROTECT
- これらの証明書をfirewall
- デバイス > 証明書>デバイス証明書>輸入
- 証明書の種類: ローカル
- 証明書名: 証明書名を入力します (例: 根-CA )
- 証明書ファイル: ダウンロードした証明書を選択します
- クリック 'OK '
- すべてのルート証明書と中間証明書について上記の手順に従います。
- これらのアップロードされた証明書をポータル構成に配置し、ダウンロードしてユーザー マシンにインストールします。GlobalProtectに接続しますVPN。
- に行く通信網>GlobalProtect >ポータル>エージェント
- クリック '追加' を選択し、根CA証明書。
- チェックボックスをオンにします。INSTALL IN LOCAL ROOT CERTIFICATE STORE 」
- 中級者の場合は上記の手順に従いますCA証明書も。
- 専念変更