L'application GlobalProtect en mode tunnel et proxy ne parvient pas à télécharger le fichier PAC en raison de l'erreur « INVALID CA »

• Configuration du mode Tunnel et Proxy comme décrit dans GlobalProtect en mode Tunnel et Proxy.
• L'application GP ne parvient pas à télécharger un fichier PAC en raison de l'erreur « INVALID CA ».
• Les journaux ci-dessous se trouvent dans les journaux du client GlobalProtect

(P3648-T7676)Debug( 64): 11/16/23 12:53:40:486 PanHttp: GET https://store.swg.prismaaccess.com/pac/rnzadmnnz/xxxxxxxxxxxxx.pac
(P3648-T7676)Debug( 125): 11/16/23 12:53:40:486 PanHttp: http server=store.swg.prismaaccess.com, port=443
...
(P3648-T7676)Debug( 329): 11/16/23 12:53:40:486 PanHttp:SendWinHttpRequest enter
(P3648-T7676)Debug( 349): 11/16/23 12:53:40:486 PanHttp: First try to send without client cert
(P3648-T6800)Warn (1056): 11/16/23 12:53:40:517 PanHttp: CertError: INVALID_CA 
(P3648-T6800)Debug(1146): 11/16/23 12:53:40:517 PanHttp: WINHTTP_CALLBACK_STATUS_REQUEST_ERROR, result=5, error=12175 (ERROR_WINHTTP_SECURE_FAILURE), m_dwServerCertError=8
(P3648-T7676)Debug( 376): 11/16/23 12:53:40:517 PanHttp:SendWinHttpRequest request error
(P3648-T7676)Error( 104): 11/16/23 12:53:40:517 PanHttp: Failed to send http request, error: failed to send request

(P3648-T7676)debug11/16/23 12:53:39:362 (369): TASK: Download Pac file start: https://store.swg.prismaaccess.com/pac/rnzadmnnz/xxxxxxxxxxxxx.pac
(P3648-T7676)error11/16/23 12:53:39:484 (398): pac file download failed for https://store.swg.prismaaccess.com/pac/rnzadmnnz/xxxxxxxxxxxxx.pac
(P3648-T7676)criti11/16/23 12:53:39:484 (420): Didn't download any pac file 

• Accès Prisma
• PANOS-10.2.4
• GlobalProtect (en mode tunnel et proxy)
• Le déchiffrement SSL de l’URL PAC proxy est effectué sur MU ou le pare-feu sur site à l’aide du certificat intermédiaire auto-signé.

• Pour la vérification de la chaîne de certification, GP App a besoin que tous les certificats de la chaîne de certificats soient importés dans le magasin de certificats de l'autorité de certification de confiance du client.
• La plupart des navigateurs Web effectuent la vérification de la chaîne de certification avec uniquement le certificat intermédiaire.

1. Installez tous les certificats de la chaîne de certificats dans le magasin de certificats de l'autorité de certification de confiance de l'utilisateur sur l'ordinateur client.
2. Ceci est expliqué dans l’exemple suivant
   • La chaîne de certificats suivante, le déchiffrement SSL, est effectuée avec le certificat d'autorité de certification intermédiaire, « PAN-Decrypt_Trust ».
   • Installez à la fois « PAN-Decrypt_CA » et « PAN-Decrypt_Trust » dans le magasin de certificats de l'autorité de certification de confiance de l'utilisateur afin que l'application GP puisse vérifier la chaîne de certificats avec succès.