GlobalProtect Le client ne parvient pas à se connecter avec l’erreur « Erreur de certificat de serveur inconnu. Erreur 128 »

• Le GlobalProtect client ne parvient pas à se connecter au portail ou à la passerelle avec une « erreur de certificat de serveur inconnu » comme ci-dessous.

• L’erreur peut concerner le portail/la passerelle ou les deux, selon la configuration dans laquelle l’authentification par certificat client est requise.

• Palo Alto Strata Firewall
• Soutenu PAN-OS
• GlobalProtect client utilisant le certificat client pour l’authentification sous Windows OS.
• Prisma Access pour Mobile Users

• Cela est dû à l’incapacité du client à accéder à la clé privée du certificat client requis pour l’authentification GlobalProtect TLS .
• Il peut s’agir d’un problème de certificat corrompu sous Windows ou d’un problème au niveau du système d’exploitation (OS) où la clé privée du certificat est inaccessible même si elle est incluse dans le certificat.
• Cela peut être vérifié par les journaux PanGPA .

(P15248-T15144)Error(2329): 05/27/22 20:21:37:378 error = ERROR_WINHTTP_CLIENT_CERT_NO_ACCESS_PRIVATE_KEY
(P15248-T15144)Debug(2416): 05/27/22 20:21:37:378 winhttpObj, got ERROR_WINHTTP_CLIENT_CERT_NO_ACCESS_PRIVATE_KEY, clean cert cache now
(P15248-T15060)Debug( 408): 05/27/22 20:21:37:599 Receive gps message with type portal-certificate-verification.

//Truncated for Brevity 


	<portal-config-version>4100</portal-config-version>
	<error-must-show/>
	<error-must-show-level>error</error-must-show-level>
	<portal-status>Invalid portal</portal-status>
	<user-name>user.lastname</user-name>
	<username-type>sso</username-type>
	<state>Disconnected</state>
	<check-version>no</check-version>
	<portal>customer.gpcloudservice.com</portal>
	<discover-ready>no</discover-ready>
	<mdm-is-enabled>no</mdm-is-enabled>
	<error-code>128</error-code>

1. Réinstallez le certificat client sur l’ordinateur utilisateur.
2. Connectez-vous à nouveau et cette fois l’authentification devrait passer.

• Pour reproduire le problème sur le même ordinateur client, accédez au portail ou à la passerelle URL via Internet Explorer ou le navigateur Edge (en mode privé) qui échouera également en raison de cette erreur.
• Si la réinstallation du certificat ne résout pas le problème, mettez à niveau le vers les OS derniers correctifs.
• Vérifiez que le certificat client possède une chaîne de certificats complète et qu’il est installé dans le bon dossier (Personal>Certificates)
• Demandez au client d'effectuer un dépannage de niveau supplémentaire OS pour déterminer pourquoi le Globalprotect client ne peut pas accéder à la clé privée du certificat.