GlobalProtect 客户端失败并出现错误“无法验证网关的服务器证书...”
129785
Created On 04/14/22 02:27 AM - Last Modified 05/15/23 09:17 AM
Symptom
- GlobalProtect 当用户尝试连接时,客户端抛出以下错误消息
"Could not verify the server certificate of the gateway. If the issue persists, contact your administrator."
- 可以在 PanGPS.log 文件中看到证书验证错误。
20830 02/04 09:08:07:640041 - unable to verify, index=0
20830 02/04 09:08:07:640202 - java.security.cert.CertPathValidatorException: Trust anchor for certification path not found.
20830 02/04 09:08:07:640332 - proceed to verify server cert against portal CAs...
20830 02/04 09:08:07:640885 - 1322
20830 02/0409:08:07:646400java.io.FileNotFoundException: /data/user/0/com.paloaltonetworks.globalprotect/files/tca.cer: open failed: ENOENT (No such file or directory)
20830 02/04 09:08:07:652614 - PanHttpsClient: 1738, found exception:javax.net.ssl.SSLHandshakeException: CertPathValidatorException:,Trust anchor for certification path not found
20830 02/04 09:08:07:652749 - PanHttpsClient: server cert error
- 访问门户URL从受影响的机器上的任何浏览器将显示证书警告。
Environment
- GlobalProtect App 5.2
Cause
- Portal 和 Gateway 使用的证书由外部证书颁发机构签名(CA ).
- 计算机上缺少证书链以完成验证。 例子
- 根CA: DigiCert 全球根CA- 客户端计算机中存在根证书。
- 中间的CA: 地质信托TLS DV RSA混合 SHA256 2020CA-1 - 中间的CA证书在客户端计算机中“不”可用。
Resolution
解决方案 1:
- 在用户计算机中手动下载并安装缺少的证书。 看CERTIFICATE CONFIG FOR GLOBALPROTECT
- 将这些证书上传到firewall
- 设备 > 证书>设备证书>进口
- 证书类型:本地
- 证书名称:提供证书名称(例如, 根-CA )
- 证书文件:选择下载的证书
- 点击 'OK '
- 对所有根证书和中间证书执行上述步骤。
- 将这些上传的证书放在门户配置中,以便在需要时下载并安装到用户机器中GlobalProtect连接到VPN.
- 去网络>GlobalProtect >门户网站>代理人
- 点击 '添加' 并选择根CA证书。
- 勾选“INSTALL IN LOCAL ROOT CERTIFICATE STORE “
- 按照上述中间步骤CA证书也一样。
- 犯罪变化