トンネルおよびプロキシモードのGlobalProtectアプリは、「無効なCA」エラーによりPACファイルのダウンロードに失敗します
1630
Created On 02/28/24 07:56 AM - Last Modified 05/07/24 14:03 PM
Symptom
- トンネルおよびプロキシモードでのGlobalProtectの説明に従って、トンネルおよびプロキシモードを設定します。
- GPアプリは、「無効なCA」エラーのためにPACファイルのダウンロードに失敗します。
- 以下のログは、GlobalProtectクライアントログにあります
PanGPS.log
(P3648-T7676)Debug( 64): 11/16/23 12:53:40:486 PanHttp: GET https://store.swg.prismaaccess.com/pac/rnzadmnnz/xxxxxxxxxxxxx.pac
(P3648-T7676)Debug( 125): 11/16/23 12:53:40:486 PanHttp: http server=store.swg.prismaaccess.com, port=443
...
(P3648-T7676)Debug( 329): 11/16/23 12:53:40:486 PanHttp:SendWinHttpRequest enter
(P3648-T7676)Debug( 349): 11/16/23 12:53:40:486 PanHttp: First try to send without client cert
(P3648-T6800)Warn (1056): 11/16/23 12:53:40:517 PanHttp: CertError: INVALID_CA
(P3648-T6800)Debug(1146): 11/16/23 12:53:40:517 PanHttp: WINHTTP_CALLBACK_STATUS_REQUEST_ERROR, result=5, error=12175 (ERROR_WINHTTP_SECURE_FAILURE), m_dwServerCertError=8
(P3648-T7676)Debug( 376): 11/16/23 12:53:40:517 PanHttp:SendWinHttpRequest request error
(P3648-T7676)Error( 104): 11/16/23 12:53:40:517 PanHttp: Failed to send http request, error: failed to send request
PanProxyAgent.log
(P3648-T7676)debug11/16/23 12:53:39:362 (369): TASK: Download Pac file start: https://store.swg.prismaaccess.com/pac/rnzadmnnz/xxxxxxxxxxxxx.pac
(P3648-T7676)error11/16/23 12:53:39:484 (398): pac file download failed for https://store.swg.prismaaccess.com/pac/rnzadmnnz/xxxxxxxxxxxxx.pac
(P3648-T7676)criti11/16/23 12:53:39:484 (420): Didn't download any pac file
Environment
- プリズマアクセス
- PANOS-10.2.4
- GlobalProtect(トンネルおよびプロキシモード)
- プロキシ PAC URL の SSL 復号化は、自己署名中間証明書を使用して MU またはオンプレミス ファイアウォールで実行されます。
Cause
- 証明書チェーンを検証するには、GP アプリで証明書チェーン内のすべての証明書をクライアントの信頼 CA 証明書ストアにインポートする必要があります。
- ほとんどの Web ブラウザーは、中間証明書のみを使用して証明書チェーンの検証を完了します。
Resolution
- 証明書チェーン内のすべての証明書を、クライアント コンピューター上のユーザーの信頼 CA 証明書ストアにインストールします。
- これについては、次の例で説明します
- 次の証明書チェーン SSL 復号化は、中間 CA 証明書 'PAN-Decrypt_Trust' を使用して実行されます。
- GP アプリが証明書チェーンを正常に検証できるように、ユーザーの信頼 CA 証明書ストアに "PAN-Decrypt_CA" と "PAN-Decrypt_Trust" の両方をインストールします。