GlobalProtect 客户端失败并出现错误“无法验证网关的服务器证书...”

• GlobalProtect 当用户尝试连接时，客户端抛出以下错误消息

 "Could not verify the server certificate of the gateway. If the issue persists, contact your administrator."

• 可以在 PanGPS.log 文件中看到证书验证错误。

20830 02/04 09:08:07:640041 - unable to verify, index=0 
20830 02/04 09:08:07:640202 - java.security.cert.CertPathValidatorException: Trust anchor for certification path not found. 
20830 02/04 09:08:07:640332 - proceed to verify server cert against portal CAs...           
20830 02/04 09:08:07:640885 - 1322            
20830  02/0409:08:07:646400java.io.FileNotFoundException:  /data/user/0/com.paloaltonetworks.globalprotect/files/tca.cer: open failed: ENOENT (No such file or directory)
20830 02/04 09:08:07:652614 - PanHttpsClient: 1738, found exception:javax.net.ssl.SSLHandshakeException: CertPathValidatorException:,Trust anchor for certification path not found            
20830 02/04 09:08:07:652749 - PanHttpsClient: server cert error    

• 访问门户URL从受影响的机器上的任何浏览器将显示证书警告。

• GlobalProtect App 5.2

• Portal 和 Gateway 使用的证书由外部证书颁发机构签名（CA ).
• 计算机上缺少证书链以完成验证。 例子
  • 根CA: DigiCert 全球根CA- 客户端计算机中存在根证书。
  • 中间的CA: 地质信托TLS DV RSA混合 SHA256 2020CA-1 - 中间的CA证书在客户端计算机中“不”可用。

• 在用户计算机中手动下载并安装缺少的证书。 看CERTIFICATE CONFIG FOR GLOBALPROTECT

1. 将这些证书上传到firewall
   1. 设备 > 证书>设备证书>进口
   2. 证书类型：本地
   3. 证书名称：提供证书名称（例如， 根-CA )
   4. 证书文件：选择下载的证书
   5. 点击 'OK '
2. 对所有根证书和中间证书执行上述步骤。
3. 将这些上传的证书放在门户配置中，以便在需要时下载并安装到用户机器中GlobalProtect连接到VPN.
   1. 去网络>GlobalProtect >门户网站>代理人
   2. 点击 '添加' 并选择根CA证书。
   3. 勾选“INSTALL IN LOCAL ROOT CERTIFICATE STORE “
   4. 按照上述中间步骤CA证书也一样。
4. 犯罪变化