GlobalProtect 客户端连接失败，出现错误“未知的服务器证书错误。 错误 128"

• 这GlobalProtect客户端无法连接到门户或网关，出现“未知服务器证书错误”，如下所示。

• 该错误可能针对门户/网关或两者，具体取决于需要客户端证书身份验证的配置。

• 帕洛阿尔托地层 Firewall
• 支持的 PAN-OS
• GlobalProtect 客户端在 Windows 上使用客户端证书进行身份验证OS.
• Prisma Access 为了 Mobile Users

• 这是由于无法GlobalProtect客户端访问所需的客户端证书的私钥TLS验证。
• 这可能是 Windows 或操作系统上损坏的证书的问题（OS ) 级别的问题，其中证书的私钥即使包含在证书中也无法访问。
• 这可以进一步验证PanGPA 日志.

(P15248-T15144)Error(2329): 05/27/22 20:21:37:378 error = ERROR_WINHTTP_CLIENT_CERT_NO_ACCESS_PRIVATE_KEY
(P15248-T15144)Debug(2416): 05/27/22 20:21:37:378 winhttpObj, got ERROR_WINHTTP_CLIENT_CERT_NO_ACCESS_PRIVATE_KEY, clean cert cache now
(P15248-T15060)Debug( 408): 05/27/22 20:21:37:599 Receive gps message with type portal-certificate-verification.

//Truncated for Brevity 


	<portal-config-version>4100</portal-config-version>
	<error-must-show/>
	<error-must-show-level>error</error-must-show-level>
	<portal-status>Invalid portal</portal-status>
	<user-name>user.lastname</user-name>
	<username-type>sso</username-type>
	<state>Disconnected</state>
	<check-version>no</check-version>
	<portal>customer.gpcloudservice.com</portal>
	<discover-ready>no</discover-ready>
	<mdm-is-enabled>no</mdm-is-enabled>
	<error-code>128</error-code>

1. 重新安装客户端证书在用户机器上。
2. 再次连接，这次应该通过身份验证。

• 要在同一台客户端计算机上重现该问题，请访问门户或网关URL通过 Internet Explorer 或 Edge 浏览器 (在私人模式) 也将由于此错误而失败。
• 如果重新安装证书无法解决问题，请升级OS到最新的补丁。
• 验证客户端证书是否具有完整的证书链并安装在正确的文件夹中（个人>证书）
• 要求客户执行额外的OS级故障排除以找出原因Globalprotect客户端无法访问证书的私钥。