L'application GlobalProtect en mode tunnel et proxy ne parvient pas à télécharger le fichier PAC en raison de l'erreur « INVALID CA »
1622
Created On 02/28/24 07:56 AM - Last Modified 05/07/24 14:04 PM
Symptom
- Configuration du mode Tunnel et Proxy comme décrit dans GlobalProtect en mode Tunnel et Proxy.
- L'application GP ne parvient pas à télécharger un fichier PAC en raison de l'erreur « INVALID CA ».
- Les journaux ci-dessous se trouvent dans les journaux du client GlobalProtect
PanGPS.log (en)
(P3648-T7676)Debug( 64): 11/16/23 12:53:40:486 PanHttp: GET https://store.swg.prismaaccess.com/pac/rnzadmnnz/xxxxxxxxxxxxx.pac
(P3648-T7676)Debug( 125): 11/16/23 12:53:40:486 PanHttp: http server=store.swg.prismaaccess.com, port=443
...
(P3648-T7676)Debug( 329): 11/16/23 12:53:40:486 PanHttp:SendWinHttpRequest enter
(P3648-T7676)Debug( 349): 11/16/23 12:53:40:486 PanHttp: First try to send without client cert
(P3648-T6800)Warn (1056): 11/16/23 12:53:40:517 PanHttp: CertError: INVALID_CA
(P3648-T6800)Debug(1146): 11/16/23 12:53:40:517 PanHttp: WINHTTP_CALLBACK_STATUS_REQUEST_ERROR, result=5, error=12175 (ERROR_WINHTTP_SECURE_FAILURE), m_dwServerCertError=8
(P3648-T7676)Debug( 376): 11/16/23 12:53:40:517 PanHttp:SendWinHttpRequest request error
(P3648-T7676)Error( 104): 11/16/23 12:53:40:517 PanHttp: Failed to send http request, error: failed to send request
PanProxyAgent.log
(P3648-T7676)debug11/16/23 12:53:39:362 (369): TASK: Download Pac file start: https://store.swg.prismaaccess.com/pac/rnzadmnnz/xxxxxxxxxxxxx.pac
(P3648-T7676)error11/16/23 12:53:39:484 (398): pac file download failed for https://store.swg.prismaaccess.com/pac/rnzadmnnz/xxxxxxxxxxxxx.pac
(P3648-T7676)criti11/16/23 12:53:39:484 (420): Didn't download any pac file
Environment
- Accès Prisma
- PANOS-10.2.4
- GlobalProtect (en mode tunnel et proxy)
- Le déchiffrement SSL de l’URL PAC proxy est effectué sur MU ou le pare-feu sur site à l’aide du certificat intermédiaire auto-signé.
Cause
- Pour la vérification de la chaîne de certification, GP App a besoin que tous les certificats de la chaîne de certificats soient importés dans le magasin de certificats de l'autorité de certification de confiance du client.
- La plupart des navigateurs Web effectuent la vérification de la chaîne de certification avec uniquement le certificat intermédiaire.
Resolution
- Installez tous les certificats de la chaîne de certificats dans le magasin de certificats de l'autorité de certification de confiance de l'utilisateur sur l'ordinateur client.
- Ceci est expliqué dans l’exemple suivant
- La chaîne de certificats suivante, le déchiffrement SSL, est effectuée avec le certificat d'autorité de certification intermédiaire, « PAN-Decrypt_Trust ».
- Installez à la fois « PAN-Decrypt_CA » et « PAN-Decrypt_Trust » dans le magasin de certificats de l'autorité de certification de confiance de l'utilisateur afin que l'application GP puisse vérifier la chaîne de certificats avec succès.