GlobalProtect Der Client kann keine Verbindung herstellen und erhält den Fehler "Unbekannter Serverzertifikatfehler. Fehler 128"

• Der GlobalProtect Client kann keine Verbindung zum Portal oder Gateway herstellen und weist den folgenden Fehler "Unbekanntes Serverzertifikat" auf.

• Der Fehler kann je nach Konfiguration, in der die Clientzertifikatauthentifizierung erforderlich ist, für das Portal /gateway oder für beide auftreten.

• Palo Alto Schichten Firewall
• Unterstützt PAN-OS
• GlobalProtect Client mit Client-Zertifikat für die Authentifizierung unter Windows OS.
• Prisma Access für Mobile Users

• Dies wird dadurch verursacht, dass der Client nicht auf den privaten Schlüssel des Client-Zertifikats zugreifen kann, der GlobalProtect für die TLS Authentifizierung erforderlich ist.
• Dies kann ein Problem mit einem beschädigten Zertifikat unter Windows oder einOS Problem auf Betriebssystemebene sein, bei dem auf den privaten Schlüssel des Zertifikats nicht zugegriffen werden kann, selbst wenn er im Zertifikat enthalten ist.
• Dies kann durch die PanGPA-Protokolle weiter überprüft werden.

(P15248-T15144)Error(2329): 05/27/22 20:21:37:378 error = ERROR_WINHTTP_CLIENT_CERT_NO_ACCESS_PRIVATE_KEY
(P15248-T15144)Debug(2416): 05/27/22 20:21:37:378 winhttpObj, got ERROR_WINHTTP_CLIENT_CERT_NO_ACCESS_PRIVATE_KEY, clean cert cache now
(P15248-T15060)Debug( 408): 05/27/22 20:21:37:599 Receive gps message with type portal-certificate-verification.

//Truncated for Brevity 


	<portal-config-version>4100</portal-config-version>
	<error-must-show/>
	<error-must-show-level>error</error-must-show-level>
	<portal-status>Invalid portal</portal-status>
	<user-name>user.lastname</user-name>
	<username-type>sso</username-type>
	<state>Disconnected</state>
	<check-version>no</check-version>
	<portal>customer.gpcloudservice.com</portal>
	<discover-ready>no</discover-ready>
	<mdm-is-enabled>no</mdm-is-enabled>
	<error-code>128</error-code>

1. Installieren Sie das Clientzertifikat auf dem Benutzercomputer neu.
2. Stellen Sie erneut eine Verbindung her und dieses Mal sollte die Authentifizierung durchgeführt werden.

• Um das Problem auf demselben Clientcomputer zu reproduzieren, greifen Sie über Internet Explorer oder Edge-Browser (im privaten Modus) auf das Portal oder Gateway URL zu, was aufgrund dieses Fehlers ebenfalls fehlschlägt.
• Wenn das Problem durch die Neuinstallation des Zertifikats nicht behoben wird, aktualisieren Sie die Patches auf die OS neuesten Patches.
• Stellen Sie sicher, dass das Clientzertifikat über eine vollständige Zertifikatskette verfügt und im richtigen Ordner (Personal>Zertifikate) installiert ist.
• Fordern Sie den Kunden auf, eine Fehlerbehebung auf zusätzlicher Ebene durchzuführen OS , um herauszufinden, warum der Globalprotect Client nicht auf den privaten Schlüssel des Zertifikats zugreifen kann.