La aplicación GlobalProtect en modo túnel y proxy no puede descargar el archivo PAC debido al error "CA no válida"
1622
Created On 02/28/24 07:56 AM - Last Modified 05/07/24 13:57 PM
Symptom
- Configuración del modo de túnel y proxy como se describe en GlobalProtect en el modo de túnel y proxy.
- La aplicación GP no puede descargar un archivo PAC debido al error 'CA NO VÁLIDA'.
- Los siguientes registros se pueden encontrar en los registros de clientes de GlobalProtect
PanGPS.log
(P3648-T7676)Debug( 64): 11/16/23 12:53:40:486 PanHttp: GET https://store.swg.prismaaccess.com/pac/rnzadmnnz/xxxxxxxxxxxxx.pac
(P3648-T7676)Debug( 125): 11/16/23 12:53:40:486 PanHttp: http server=store.swg.prismaaccess.com, port=443
...
(P3648-T7676)Debug( 329): 11/16/23 12:53:40:486 PanHttp:SendWinHttpRequest enter
(P3648-T7676)Debug( 349): 11/16/23 12:53:40:486 PanHttp: First try to send without client cert
(P3648-T6800)Warn (1056): 11/16/23 12:53:40:517 PanHttp: CertError: INVALID_CA
(P3648-T6800)Debug(1146): 11/16/23 12:53:40:517 PanHttp: WINHTTP_CALLBACK_STATUS_REQUEST_ERROR, result=5, error=12175 (ERROR_WINHTTP_SECURE_FAILURE), m_dwServerCertError=8
(P3648-T7676)Debug( 376): 11/16/23 12:53:40:517 PanHttp:SendWinHttpRequest request error
(P3648-T7676)Error( 104): 11/16/23 12:53:40:517 PanHttp: Failed to send http request, error: failed to send request
PanProxyAgent.log
(P3648-T7676)debug11/16/23 12:53:39:362 (369): TASK: Download Pac file start: https://store.swg.prismaaccess.com/pac/rnzadmnnz/xxxxxxxxxxxxx.pac
(P3648-T7676)error11/16/23 12:53:39:484 (398): pac file download failed for https://store.swg.prismaaccess.com/pac/rnzadmnnz/xxxxxxxxxxxxx.pac
(P3648-T7676)criti11/16/23 12:53:39:484 (420): Didn't download any pac file
Environment
- Acceso Prisma
- PANOS-10.2.4
- GlobalProtect (en modo túnel y proxy)
- El descifrado SSL para la URL PAC del proxy se realiza en MU o en el firewall local mediante el certificado intermedio autofirmado.
Cause
- Para la comprobación de la cadena de certificación, GP App necesita que todos los certificados de la cadena de certificados se importen en el almacén de certificados de CA de confianza del cliente.
- La mayoría de los navegadores web completan la verificación de la cadena de certificación solo con el certificado intermedio.
Resolution
- Instale todos los certificados de la cadena de certificados en el almacén de certificados de CA de confianza del usuario en el equipo cliente.
- Esto se explica en el siguiente ejemplo
- La siguiente cadena de certificados, el descifrado SSL, se realiza con el certificado de CA intermedio, 'PAN-Decrypt_Trust'.
- Instale "PAN-Decrypt_CA" y "PAN-Decrypt_Trust" en el almacén de certificados de CA de confianza del usuario para que la aplicación de GP pueda comprobar correctamente la cadena de certificados.