Die GlobalProtect-App im Tunnel- und Proxy-Modus kann die PAC-Datei aufgrund des Fehlers "UNGÜLTIGE CA" nicht herunterladen

• Konfigurieren des Tunnel- und Proxy-Modus, wie in GlobalProtect in Tunnel- und Proxy-Modus beschrieben.
• Die GP-App kann eine PAC-Datei aufgrund des Fehlers "UNGÜLTIGE CA" nicht herunterladen.
• Die folgenden Protokolle finden Sie in den GlobalProtect Client-Protokollen

(P3648-T7676)Debug( 64): 11/16/23 12:53:40:486 PanHttp: GET https://store.swg.prismaaccess.com/pac/rnzadmnnz/xxxxxxxxxxxxx.pac
(P3648-T7676)Debug( 125): 11/16/23 12:53:40:486 PanHttp: http server=store.swg.prismaaccess.com, port=443
...
(P3648-T7676)Debug( 329): 11/16/23 12:53:40:486 PanHttp:SendWinHttpRequest enter
(P3648-T7676)Debug( 349): 11/16/23 12:53:40:486 PanHttp: First try to send without client cert
(P3648-T6800)Warn (1056): 11/16/23 12:53:40:517 PanHttp: CertError: INVALID_CA 
(P3648-T6800)Debug(1146): 11/16/23 12:53:40:517 PanHttp: WINHTTP_CALLBACK_STATUS_REQUEST_ERROR, result=5, error=12175 (ERROR_WINHTTP_SECURE_FAILURE), m_dwServerCertError=8
(P3648-T7676)Debug( 376): 11/16/23 12:53:40:517 PanHttp:SendWinHttpRequest request error
(P3648-T7676)Error( 104): 11/16/23 12:53:40:517 PanHttp: Failed to send http request, error: failed to send request

(P3648-T7676)debug11/16/23 12:53:39:362 (369): TASK: Download Pac file start: https://store.swg.prismaaccess.com/pac/rnzadmnnz/xxxxxxxxxxxxx.pac
(P3648-T7676)error11/16/23 12:53:39:484 (398): pac file download failed for https://store.swg.prismaaccess.com/pac/rnzadmnnz/xxxxxxxxxxxxx.pac
(P3648-T7676)criti11/16/23 12:53:39:484 (420): Didn't download any pac file 

• Prisma-Zugang
• PANOS-10.2.4
• GlobalProtect (im Tunnel- und Proxy-Modus)
• Die SSL-Entschlüsselung für die Proxy-PAC-URL wird auf MU oder der lokalen Firewall mithilfe des selbstsignierten Zwischenzertifikats durchgeführt.

• Für die Überprüfung der Zertifizierungskette müssen alle Zertifikate in der Zertifikatskette in den Zertifikatspeicher der Vertrauenszertifizierungsstelle des Clients importiert werden.
• Die meisten Webbrowser schließen die Überprüfung der Zertifizierungskette nur mit dem Zwischenzertifikat ab.

1. Installieren Sie alle Zertifikate in der Zertifikatskette im Zertifikatspeicher der Vertrauenszertifizierungsstelle des Benutzers auf dem Clientcomputer.
2. Dies wird im folgenden Beispiel erläutert
   • Die folgende Zertifikatskette, die SSL-Entschlüsselung, wird mit dem Zwischenzertifikat der Zertifizierungsstelle "PAN-Decrypt_Trust" durchgeführt.
   • Installieren Sie sowohl "PAN-Decrypt_CA" als auch "PAN-Decrypt_Trust" im Zertifikatspeicher der Vertrauenszertifizierungsstelle des Benutzers, damit die GP-App die Zertifikatskette erfolgreich überprüfen kann.