Global Protect no se conecta en iOS 13 y macOS 10.15 debido a " error en la verificación del certificado de servidor"
44542
Created On 10/07/20 19:55 PM - Last Modified 03/26/21 18:41 PM
Symptom
- No es capaz de conectar la aplicación en el GlobalProtect dispositivo iOS y macOS, recibiendo por debajo de los mensajes de error en el registro PanGPS,
Sep 24 09:54:13:879712 Info (1009): Añadir anclajes de confianza (
" <cert(0x149f220c0) s: DPP-ROOT i: DPP-ROOT >"
)
Sep 24 09:54:13:890370 Debug(1021): Resultado de la evaluación de confianza {
TrustEvaluationDate = "2020-09-24 16:54:13 +0000";
TrustResultDetails = (
{
ValidityPeriodMaximums = 0;
},
{
}
);
TrustResultValue = 5;
}
Sep 24 09:54:13:890670 Debug(1035): Propiedades de evaluación de confianza (
{
type = error;
valor = " Policy requisitos no cumplidos.";
}
)
Certificado:
Datos:
Versión: 3 (0x2)
Número de serie:
2f:4b:e4:a3:00:01:00:00:00:20
Algoritmo de firma: sha256WithRSAEncryption
Issuer: DC =local, DC =dpp, CN = Validez no DPP-ROOT
antes: Sep 18 05:16:05 2020 GMT
Not After : Sep 17 05:16:05 2025 GMT
Sep 24 09:54:13:892918 Error( 522): Error en la etavaluación de confianza del servidor: 5
conexión: 0x149f18070, tipo: 2, host: [vpn.xyz.com:443], host original: [vpn.xyz.com], alwaysTrust: 0
session: <__NSURLSessionLocal: 0x149e20920="">-[GPURLConnection session] <NSOperationQueue: 0x149e203e0="">{name = 'NSOperationQueue 0x149e203e0'}
Sep 24 09:54:13:897415 Debug(5506): Show Gateway vpn.xyz.com: Error en la verificación del certificado de servidor Sep 24 09::5506): Mostrar puerta de enlace vpn.xyz.com: Error en la verificación del certificado de servidor
Sep 24 09::09:09: 54:13:897472 Info ( 266): Sesión <__NSURLSessionLocal: 0x149e20920="">establecida en (null)
Sep 24 09:54:13:897534 Debug(3560): Login to gateway (null) vpn.xyz.com sin ipv6
Sep 24 09:54:13:897567 Debug(5506): Mostrar vpn.xyz.com de puerta de enlace: No se pudo conectar a la GlobalProtect puerta de enlace.</__NSURLSessionLocal:> </NSOperationQueue:> </__NSURLSessionLocal:> Póngase en contacto con su IT administrador.
Sep 24 09:54:13:897589 Debug(3881): No se pudo iniciar sesión previamente en la puerta de enlace vpn.xyz.com
sep 24 09:54:13:897614 Info (2622): No se pudo recuperar información para vpn.xyz.com de puerta de enlace.
Sep 24 09:54:13:897638 Debug(1026): limpieza de sesión.
Sep 24 09:54:13:897660 Debug(2633): túnel a vpn.xyz.com no se crea.
Sep 24 09:54:13:897684 Error(5547): NetworkDiscoverThread: no se pudo descubrir la red externa.
Sep 24 09:54:13:897709 Debug(6598): --Establecer estado en Desconectar
)
Sep 24 09:54:13:890370 Debug(1021): Resultado de la evaluación de confianza {
TrustEvaluationDate = "2020-09-24 16:54:13 +0000";
TrustResultDetails = (
{
ValidityPeriodMaximums = 0;
},
{
}
);
TrustResultValue = 5;
}
Sep 24 09:54:13:890670 Debug(1035): Propiedades de evaluación de confianza (
{
type = error;
valor = " Policy requisitos no cumplidos.";
}
)
Certificado:
Datos:
Versión: 3 (0x2)
Número de serie:
2f:4b:e4:a3:00:01:00:00:00:20
Algoritmo de firma: sha256WithRSAEncryption
Issuer: DC =local, DC =dpp, CN = Validez no DPP-ROOT
antes: Sep 18 05:16:05 2020 GMT
Not After : Sep 17 05:16:05 2025 GMT
Sep 24 09:54:13:892918 Error( 522): Error en la etavaluación de confianza del servidor: 5
conexión: 0x149f18070, tipo: 2, host: [vpn.xyz.com:443], host original: [vpn.xyz.com], alwaysTrust: 0
session: <__NSURLSessionLocal: 0x149e20920="">-[GPURLConnection session] <NSOperationQueue: 0x149e203e0="">{name = 'NSOperationQueue 0x149e203e0'}
Sep 24 09:54:13:897415 Debug(5506): Show Gateway vpn.xyz.com: Error en la verificación del certificado de servidor Sep 24 09::5506): Mostrar puerta de enlace vpn.xyz.com: Error en la verificación del certificado de servidor
Sep 24 09::09:09: 54:13:897472 Info ( 266): Sesión <__NSURLSessionLocal: 0x149e20920="">establecida en (null)
Sep 24 09:54:13:897534 Debug(3560): Login to gateway (null) vpn.xyz.com sin ipv6
Sep 24 09:54:13:897567 Debug(5506): Mostrar vpn.xyz.com de puerta de enlace: No se pudo conectar a la GlobalProtect puerta de enlace.</__NSURLSessionLocal:> </NSOperationQueue:> </__NSURLSessionLocal:> Póngase en contacto con su IT administrador.
Sep 24 09:54:13:897589 Debug(3881): No se pudo iniciar sesión previamente en la puerta de enlace vpn.xyz.com
sep 24 09:54:13:897614 Info (2622): No se pudo recuperar información para vpn.xyz.com de puerta de enlace.
Sep 24 09:54:13:897638 Debug(1026): limpieza de sesión.
Sep 24 09:54:13:897660 Debug(2633): túnel a vpn.xyz.com no se crea.
Sep 24 09:54:13:897684 Error(5547): NetworkDiscoverThread: no se pudo descubrir la red externa.
Sep 24 09:54:13:897709 Debug(6598): --Establecer estado en Desconectar
Environment
- Palo Alto Networks firewall
- GlobalProtect infraestructura que incluye suscripción activa para dispositivos iOS
- iOS 13 y macOS 10.15
- SSL/ TLS perfil de servicio
Cause
- Este problema se debe al uso de un certificado que no cumple los nuevos requisitos de Apple para los certificados de TLS servidor.
Resolution
Según Apple, todos los TLS certificados de servidor deben cumplir estos nuevos requisitos de seguridad para el certificado de confianza en iOS 13 y macOS 10.15.
- TLS certificados de servidor y CAs emisores mediante RSA claves deben usar tamaños de clave mayores o iguales a 2048 bits. Los certificados que utilizan RSA tamaños de clave inferiores a 2048 bits ya no son de confianza para TLS .
- TLS certificados de servidor y CA emisores deben usar un algoritmo hash de la SHA-2 familia en el algoritmo de firma. SHA-1 certificados firmados ya no son de confianza para TLS .
- TLS los certificados de servidor deben presentar el DNS nombre del servidor en la extensión Nombre alternativo de asunto del certificado. DNS los nombres de CommonName del certificado ya no son de confianza.
- TLS los certificados de servidor deben contener una extensión ExtendedKeyUsage ( EKU ) que contenga el id-kp-serverAuth OID .
- TLS los certificados de servidor deben tener un período de validez de 825 días o menos (como se expresa en los campos NotBefore y NotAfter de los certificados)
Additional Information
Para obtener información adicional sobre SSL los nuevos requisitos de apple / TLS certificado, consulte la siguiente documentación proporcionada aquí.