GlobalProtect el cliente no se conecta con el error "Error de certificado de servidor desconocido. Error 128"

• El GlobalProtect cliente no puede conectarse al portal o puerta de enlace con "Error de certificado de servidor desconocido" como se muestra a continuación.

• El error podría ser para el portal /gateway o ambos, dependiendo de la configuración en la que se requiera la autenticación del certificado de cliente.

• Estratos de Palo Alto Firewall
• Apoyado PAN-OS
• GlobalProtect cliente que utiliza el certificado de cliente para la autenticación en Windows OS.
• Prisma Access Para Mobile Users

• Esto se debe a la incapacidad del GlobalProtect cliente para acceder a la clave privada del certificado de cliente que se requiere para la TLS autenticación.
• Esto podría ser un problema con un certificado dañado en Windows o un problema de nivel de sistema operativo dondeOS la clave privada del certificado es inaccesible incluso si está incluida en el certificado.
• Esto se puede verificar aún más mediante los registros de PanGPA .

(P15248-T15144)Error(2329): 05/27/22 20:21:37:378 error = ERROR_WINHTTP_CLIENT_CERT_NO_ACCESS_PRIVATE_KEY
(P15248-T15144)Debug(2416): 05/27/22 20:21:37:378 winhttpObj, got ERROR_WINHTTP_CLIENT_CERT_NO_ACCESS_PRIVATE_KEY, clean cert cache now
(P15248-T15060)Debug( 408): 05/27/22 20:21:37:599 Receive gps message with type portal-certificate-verification.

//Truncated for Brevity 


	<portal-config-version>4100</portal-config-version>
	<error-must-show/>
	<error-must-show-level>error</error-must-show-level>
	<portal-status>Invalid portal</portal-status>
	<user-name>user.lastname</user-name>
	<username-type>sso</username-type>
	<state>Disconnected</state>
	<check-version>no</check-version>
	<portal>customer.gpcloudservice.com</portal>
	<discover-ready>no</discover-ready>
	<mdm-is-enabled>no</mdm-is-enabled>
	<error-code>128</error-code>

1. Vuelva a instalar el certificado de cliente en el equipo del usuario.
2. Conéctese de nuevo y esta vez la autenticación debería pasar.

• Para reproducir el problema en el mismo equipo cliente, acceda al portal o puerta de enlace a través de URL Internet Explorer o el navegador Edge (en modo privado), que también fallará debido a este error.
• Si la reinstalación del certificado no soluciona el problema, actualice el a los OS parches más recientes.
• Compruebe que el certificado de cliente tiene una cadena de certificados completa y está instalado en la carpeta correcta (Personal>Certificates)
• Solicite al cliente que realice una solución de problemas de nivel adicional OS para averiguar por qué el Globalprotect cliente no puede acceder a la clave privada del certificado.