Die GlobalProtect-App im Tunnel- und Proxy-Modus kann die PAC-Datei aufgrund des Fehlers "UNGÜLTIGE CA" nicht herunterladen
1620
Created On 02/28/24 07:56 AM - Last Modified 05/07/24 14:02 PM
Symptom
- Konfigurieren des Tunnel- und Proxy-Modus, wie in GlobalProtect in Tunnel- und Proxy-Modus beschrieben.
- Die GP-App kann eine PAC-Datei aufgrund des Fehlers "UNGÜLTIGE CA" nicht herunterladen.
- Die folgenden Protokolle finden Sie in den GlobalProtect Client-Protokollen
PanGPS.log
(P3648-T7676)Debug( 64): 11/16/23 12:53:40:486 PanHttp: GET https://store.swg.prismaaccess.com/pac/rnzadmnnz/xxxxxxxxxxxxx.pac
(P3648-T7676)Debug( 125): 11/16/23 12:53:40:486 PanHttp: http server=store.swg.prismaaccess.com, port=443
...
(P3648-T7676)Debug( 329): 11/16/23 12:53:40:486 PanHttp:SendWinHttpRequest enter
(P3648-T7676)Debug( 349): 11/16/23 12:53:40:486 PanHttp: First try to send without client cert
(P3648-T6800)Warn (1056): 11/16/23 12:53:40:517 PanHttp: CertError: INVALID_CA
(P3648-T6800)Debug(1146): 11/16/23 12:53:40:517 PanHttp: WINHTTP_CALLBACK_STATUS_REQUEST_ERROR, result=5, error=12175 (ERROR_WINHTTP_SECURE_FAILURE), m_dwServerCertError=8
(P3648-T7676)Debug( 376): 11/16/23 12:53:40:517 PanHttp:SendWinHttpRequest request error
(P3648-T7676)Error( 104): 11/16/23 12:53:40:517 PanHttp: Failed to send http request, error: failed to send request
PanProxyAgent.log
(P3648-T7676)debug11/16/23 12:53:39:362 (369): TASK: Download Pac file start: https://store.swg.prismaaccess.com/pac/rnzadmnnz/xxxxxxxxxxxxx.pac
(P3648-T7676)error11/16/23 12:53:39:484 (398): pac file download failed for https://store.swg.prismaaccess.com/pac/rnzadmnnz/xxxxxxxxxxxxx.pac
(P3648-T7676)criti11/16/23 12:53:39:484 (420): Didn't download any pac file
Environment
- Prisma-Zugang
- PANOS-10.2.4
- GlobalProtect (im Tunnel- und Proxy-Modus)
- Die SSL-Entschlüsselung für die Proxy-PAC-URL wird auf MU oder der lokalen Firewall mithilfe des selbstsignierten Zwischenzertifikats durchgeführt.
Cause
- Für die Überprüfung der Zertifizierungskette müssen alle Zertifikate in der Zertifikatskette in den Zertifikatspeicher der Vertrauenszertifizierungsstelle des Clients importiert werden.
- Die meisten Webbrowser schließen die Überprüfung der Zertifizierungskette nur mit dem Zwischenzertifikat ab.
Resolution
- Installieren Sie alle Zertifikate in der Zertifikatskette im Zertifikatspeicher der Vertrauenszertifizierungsstelle des Benutzers auf dem Clientcomputer.
- Dies wird im folgenden Beispiel erläutert
- Die folgende Zertifikatskette, die SSL-Entschlüsselung, wird mit dem Zwischenzertifikat der Zertifizierungsstelle "PAN-Decrypt_Trust" durchgeführt.
- Installieren Sie sowohl "PAN-Decrypt_CA" als auch "PAN-Decrypt_Trust" im Zertifikatspeicher der Vertrauenszertifizierungsstelle des Benutzers, damit die GP-App die Zertifikatskette erfolgreich überprüfen kann.