由于“CA 无效”错误,处于隧道和代理模式的 GlobalProtect 应用程序无法下载 PAC 文件
1628
Created On 02/28/24 07:56 AM - Last Modified 05/07/24 14:02 PM
Symptom
- 配置隧道和代理模式,如隧道和代理模式中的 GlobalProtect 中所述。
- 由于“无效的 CA”错误,GP 应用程序无法下载 PAC 文件。
- 以下日志可在 GlobalProtect 客户端日志中找到
泛GPS.log
(P3648-T7676)Debug( 64): 11/16/23 12:53:40:486 PanHttp: GET https://store.swg.prismaaccess.com/pac/rnzadmnnz/xxxxxxxxxxxxx.pac
(P3648-T7676)Debug( 125): 11/16/23 12:53:40:486 PanHttp: http server=store.swg.prismaaccess.com, port=443
...
(P3648-T7676)Debug( 329): 11/16/23 12:53:40:486 PanHttp:SendWinHttpRequest enter
(P3648-T7676)Debug( 349): 11/16/23 12:53:40:486 PanHttp: First try to send without client cert
(P3648-T6800)Warn (1056): 11/16/23 12:53:40:517 PanHttp: CertError: INVALID_CA
(P3648-T6800)Debug(1146): 11/16/23 12:53:40:517 PanHttp: WINHTTP_CALLBACK_STATUS_REQUEST_ERROR, result=5, error=12175 (ERROR_WINHTTP_SECURE_FAILURE), m_dwServerCertError=8
(P3648-T7676)Debug( 376): 11/16/23 12:53:40:517 PanHttp:SendWinHttpRequest request error
(P3648-T7676)Error( 104): 11/16/23 12:53:40:517 PanHttp: Failed to send http request, error: failed to send request
PanProxyAgent.log
(P3648-T7676)debug11/16/23 12:53:39:362 (369): TASK: Download Pac file start: https://store.swg.prismaaccess.com/pac/rnzadmnnz/xxxxxxxxxxxxx.pac
(P3648-T7676)error11/16/23 12:53:39:484 (398): pac file download failed for https://store.swg.prismaaccess.com/pac/rnzadmnnz/xxxxxxxxxxxxx.pac
(P3648-T7676)criti11/16/23 12:53:39:484 (420): Didn't download any pac file
Environment
- 棱镜访问
- 全景-10.2.4
- GlobalProtect(在隧道和代理模式下)
- 代理 PAC URL 的 SSL 解密使用自签名中间证书在 MU 或本地防火墙上执行。
Cause
- 对于证书链验证,GP 应用需要将证书链中的所有证书导入到客户端的信任 CA 证书存储中。
- 大多数 Web 浏览器仅使用中间证书完成证书链验证。
Resolution
- 将证书链中的所有证书安装到客户端计算机上用户的信任 CA 证书存储中。
- 以下示例对此进行了说明
- 以下证书链 SSL 解密使用中间 CA 证书“PAN-Decrypt_Trust”执行。
- 将“PAN-Decrypt_CA”和“PAN-Decrypt_Trust”安装到用户的信任 CA 证书存储中,以便 GP 应用可以成功验证证书链。