Global Protect stellt keine Verbindung in iOS 13 und macOS 10.15 her, da die Überprüfung des Serverzertifikats fehlgeschlagen ist.
56699
Created On 10/07/20 19:55 PM - Last Modified 03/26/21 18:41 PM
Symptom
- Nicht in der Lage, die GlobalProtect App in iOS-Gerät und macOS zu verbinden, erhalten sie unten Fehlermeldungen im PanGPS-Protokoll,
Sep 24 09:54:13:879712 Info (1009): Hinzufügen von vertrauenswürdigen Ankern (
" <cert(0x149f220c0) s: DPP-ROOT i: DPP-ROOT >"
) Sep
24 09:54:13:890370 Debug(1021): Vertrauensauswertungsergebnis -
TrustEvaluationDate = "2020-09-24 16:54:13 +0000";
TrustResultDetails = (
-
ValidityPeriodMaximums = 0;
},
{
}
);
TrustResultValue =
5;
Sep 24 09:54:13:890670 Debug(1035): Vertrauensauswertungseigenschaften (
typ
= Fehler;
wert = Policy "Anforderungen nicht erfüllt.";
Zertifikat:
Daten:
Version: 3 (0x2)
Seriennummer:
2f:4b:e4:a3:00:01:00:00:00:20
Signaturalgorithmus: sha256WithRSAEncryption
Issuer: DC =local, DC =dpp, CN = Gültigkeit nicht DPP-ROOT
vor: Sep 18 05:16:05 2020 GMT
Not After : Sep 17 05:16:05 2025 Sep GMT
24 09:54:13:892918 Fehler( 522): Server-Vertrauensauswertung fehlgeschlagen: 5
Verbindung: 0x149f18070, Typ: 2, Host: [vpn.xyz.com:443], Originalhost: [vpn.xyz.com], alwaysTrust: 0
session: <__NSURLSessionLocal: 0x149e20920="">-[GPURLConnection session] <NSOperationQueue: 0x149e203e0="">'name = 'NSOperationQueue 0x149e203e0''
Sep 24 09:54:13:897415 Debug(5506): Show Gateway vpn.xyz.com: Serverzertifikatüberprüfung fehlgeschlagen
24 09:54:13:897472 Info ( 266): Sitzung <__NSURLSessionLocal: 0x149e20920="">auf (null)
Sep 24 09:54:13:897534 Debug(3560): Login to gateway (null) vpn.xyz.com ohne ipv6
Sep 24 09:54:13:897567 Debug(5 506): Show Gateway vpn.xyz.com: Es konnte keine Verbindung mit dem Gateway hergestellt GlobalProtect werden.</__NSURLSessionLocal:> </NSOperationQueue:> </__NSURLSessionLocal:> Wenden Sie sich an Ihren IT Administrator.
Sep 24 09:54:13:897589 Debug(3881): Fehler beim Vorloggen am Gateway vpn.xyz.com
24. Sep 09:54:13:897614 Info (2622): Fehler beim Abrufen von Informationen für Gateway-vpn.xyz.com.
Sep 24 09:54:13:897638 Debug(1026): Sitzungsbereinigung.
Sep 24 09:54:13:897660 Debug(2633): Tunnel zu vpn.xyz.com wird nicht erstellt.
Sep 24 09:54:13:897684 Error(5547): NetworkDiscoverThread: externes Netzwerk konnte nicht erkannt werden.
Sep 24 09:54:13:897709 Debug(6598): --Status auf Getrennt gesetzt
) Sep
24 09:54:13:890370 Debug(1021): Vertrauensauswertungsergebnis -
TrustEvaluationDate = "2020-09-24 16:54:13 +0000";
TrustResultDetails = (
-
ValidityPeriodMaximums = 0;
},
{
}
);
TrustResultValue =
5;
Sep 24 09:54:13:890670 Debug(1035): Vertrauensauswertungseigenschaften (
typ
= Fehler;
wert = Policy "Anforderungen nicht erfüllt.";
Zertifikat:
Daten:
Version: 3 (0x2)
Seriennummer:
2f:4b:e4:a3:00:01:00:00:00:20
Signaturalgorithmus: sha256WithRSAEncryption
Issuer: DC =local, DC =dpp, CN = Gültigkeit nicht DPP-ROOT
vor: Sep 18 05:16:05 2020 GMT
Not After : Sep 17 05:16:05 2025 Sep GMT
24 09:54:13:892918 Fehler( 522): Server-Vertrauensauswertung fehlgeschlagen: 5
Verbindung: 0x149f18070, Typ: 2, Host: [vpn.xyz.com:443], Originalhost: [vpn.xyz.com], alwaysTrust: 0
session: <__NSURLSessionLocal: 0x149e20920="">-[GPURLConnection session] <NSOperationQueue: 0x149e203e0="">'name = 'NSOperationQueue 0x149e203e0''
Sep 24 09:54:13:897415 Debug(5506): Show Gateway vpn.xyz.com: Serverzertifikatüberprüfung fehlgeschlagen
24 09:54:13:897472 Info ( 266): Sitzung <__NSURLSessionLocal: 0x149e20920="">auf (null)
Sep 24 09:54:13:897534 Debug(3560): Login to gateway (null) vpn.xyz.com ohne ipv6
Sep 24 09:54:13:897567 Debug(5 506): Show Gateway vpn.xyz.com: Es konnte keine Verbindung mit dem Gateway hergestellt GlobalProtect werden.</__NSURLSessionLocal:> </NSOperationQueue:> </__NSURLSessionLocal:> Wenden Sie sich an Ihren IT Administrator.
Sep 24 09:54:13:897589 Debug(3881): Fehler beim Vorloggen am Gateway vpn.xyz.com
24. Sep 09:54:13:897614 Info (2622): Fehler beim Abrufen von Informationen für Gateway-vpn.xyz.com.
Sep 24 09:54:13:897638 Debug(1026): Sitzungsbereinigung.
Sep 24 09:54:13:897660 Debug(2633): Tunnel zu vpn.xyz.com wird nicht erstellt.
Sep 24 09:54:13:897684 Error(5547): NetworkDiscoverThread: externes Netzwerk konnte nicht erkannt werden.
Sep 24 09:54:13:897709 Debug(6598): --Status auf Getrennt gesetzt
Environment
- Palo Alto Networks firewall
- GlobalProtect Infrastruktur einschließlich aktives Abonnement für iOS-Geräte
- iOS 13 und macOS 10.15
- SSL/ TLS Dienstprofil
Cause
- Dieses Problem wird durch die Verwendung eines Zertifikats verursacht, das die neuen Anforderungen von Apple für Serverzertifikate nicht TLS erfüllt.
Resolution
Gemäß Apple müssen alle TLS Serverzertifikate diese neuen Sicherheitsanforderungen für das Vertrauenszertifikat in iOS 13 und macOS 10.15 erfüllen.
- TLS Serverzertifikate und ausstellende Zertifizierungsstellen, die RSA Schlüssel verwenden, müssen Schlüsselgrößen verwenden, die größer oder gleich 2048 Bit sind. Zertifikate, die RSA Schlüsselgrößen kleiner als 2048 Bit verwenden, sind für nicht mehr TLS vertrauenswürdig.
- TLS Serverzertifikate und ausstellende Zertifizierungsstellen müssen einen Hashalgorithmus aus der SHA-2 Familie im Signaturalgorithmus verwenden. SHA-1 signierte Zertifikate sind für nicht mehr TLS vertrauenswürdig.
- TLS Serverzertifikate müssen den DNS Namen des Servers in der Erweiterung "Antragsteller alternativer Name" des Zertifikats enthalten. DNS Namen im CommonName des Zertifikats sind nicht mehr vertrauenswürdig.
- TLS Serverzertifikate müssen eine ExtendedKeyUsage ( ) -Erweiterung enthalten, EKU die die id-kp-serverAuth OID enthält.
- TLS Serverzertifikate müssen eine Gültigkeitsdauer von 825 Tagen oder weniger haben (wie in den Feldern NotBefore und NotAfter der Zertifikate ausgedrückt)
Additional Information
Weitere Informationen zu den neuen /Zertifikatsanforderungen von Apple finden SSL Sie in der folgenden TLS Dokumentation.