Global Protect ne se connecte pas dans iOS 13 et macOS 10.15 en raison de " vérification du certificat serveur a échoué »
44518
Created On 10/07/20 19:55 PM - Last Modified 03/26/21 18:41 PM
Symptom
- Pas en mesure de connecter GlobalProtect l’application dans l’appareil iOS et macOS, recevant ci-dessous les messages d’erreur dans le journal PanGPS,
Sep 24 09:54:13:879712 Info (1009): Ajouter des ancres de confiance (
« <cert(0x149f220c0) s: DPP-ROOT i: DPP-ROOT > " )
24 septembre 09:54:13:890370 Debug(1021): Résultat de l’évaluation de la confiance {
TrustEvaluationDate = « 2020-09-24 16:54:13 +0000 »;
TrustResultDetails = (
{
ValidityPeriodMaximums = 0;
},
{
}
);
TrustResultValue = 5;
}
Sep 24 09:54:13:890670 Debug(1035): Propriétés d’évaluation de fiducie (
{
type = erreur;
valeur = « Policy exigences non satisfaites ».
}
)
Certificat:
Données:
Version: 3 (0x2)
Numéro de série:
2f:4b:e4:a3:00:01:00:00:00:20
Algorithme de signature: sha256WithRSAEncryption
Émetteur: DC =local, DC =dpp, CN = Validity Not DPP-ROOT
Before: Sep 18 05:16:05 2020 GMT
Not After : Sep 17 05:16:05 2025 GMT
Sep 24 09:54:13:892918 Error( 522): Server trust evalutaion failed: 5
connection: 0x149f18070, type: 2, animateur: [vpn.xyz.com:443], hôte original: [vpn.xyz.com], alwaysTrust: 0
session: <__NSURLSessionLocal: 0x149e20920="">-[GPURLConnection session] <NSOperationQueue: 0x149e203e0="">{name = 'NSOperationQueue 0x149e203e0'}
Sep 24 09:54:13:897415 Debug(5506): Show Gateway vpn.xyz.com: Server certificate verification
failed Sep 2 4 09:54:13:897472 Info ( 266): Séance <__NSURLSessionLocal: 0x149e20920="">réglée au (null)
Sep 24 09:54:13:897534 Debug (3560): Connexion à la passerelle (null) vpn.xyz.com sans ipv6
Sept 24 09:54:13 :897567 Debug(5506): Afficher la passerelle vpn.xyz.com: Ne pouvait pas se connecter à la GlobalProtect passerelle.</__NSURLSessionLocal:> </NSOperationQueue:> </__NSURLSessionLocal:> Veuillez contacter votre IT administrateur.
Sep 24 09:54:13:897589 Debug (3881): Ne pas se pré-connecter à la passerelle vpn.xyz.com
Septembre 24 09:54:13:897614 Info (2622): Ne pas récupérer d’informations pour la passerelle vpn.xyz.com.
Sep 24 09:54:13:897638 Debug (1026): nettoyage de session.
Sep 24 09:54:13:897660 Debug (2633): tunnel à vpn.xyz.com n’est pas créé.
Sep 24 09:54:13:897684 Erreur (5547): NetworkDiscoverThread: n’a pas découvert le réseau externe.
Sep 24 09:54:13:897709 Debug (6598): --Définir l’état à déconnecté
24 septembre 09:54:13:890370 Debug(1021): Résultat de l’évaluation de la confiance {
TrustEvaluationDate = « 2020-09-24 16:54:13 +0000 »;
TrustResultDetails = (
{
ValidityPeriodMaximums = 0;
},
{
}
);
TrustResultValue = 5;
}
Sep 24 09:54:13:890670 Debug(1035): Propriétés d’évaluation de fiducie (
{
type = erreur;
valeur = « Policy exigences non satisfaites ».
}
)
Certificat:
Données:
Version: 3 (0x2)
Numéro de série:
2f:4b:e4:a3:00:01:00:00:00:20
Algorithme de signature: sha256WithRSAEncryption
Émetteur: DC =local, DC =dpp, CN = Validity Not DPP-ROOT
Before: Sep 18 05:16:05 2020 GMT
Not After : Sep 17 05:16:05 2025 GMT
Sep 24 09:54:13:892918 Error( 522): Server trust evalutaion failed: 5
connection: 0x149f18070, type: 2, animateur: [vpn.xyz.com:443], hôte original: [vpn.xyz.com], alwaysTrust: 0
session: <__NSURLSessionLocal: 0x149e20920="">-[GPURLConnection session] <NSOperationQueue: 0x149e203e0="">{name = 'NSOperationQueue 0x149e203e0'}
Sep 24 09:54:13:897415 Debug(5506): Show Gateway vpn.xyz.com: Server certificate verification
failed Sep 2 4 09:54:13:897472 Info ( 266): Séance <__NSURLSessionLocal: 0x149e20920="">réglée au (null)
Sep 24 09:54:13:897534 Debug (3560): Connexion à la passerelle (null) vpn.xyz.com sans ipv6
Sept 24 09:54:13 :897567 Debug(5506): Afficher la passerelle vpn.xyz.com: Ne pouvait pas se connecter à la GlobalProtect passerelle.</__NSURLSessionLocal:> </NSOperationQueue:> </__NSURLSessionLocal:> Veuillez contacter votre IT administrateur.
Sep 24 09:54:13:897589 Debug (3881): Ne pas se pré-connecter à la passerelle vpn.xyz.com
Septembre 24 09:54:13:897614 Info (2622): Ne pas récupérer d’informations pour la passerelle vpn.xyz.com.
Sep 24 09:54:13:897638 Debug (1026): nettoyage de session.
Sep 24 09:54:13:897660 Debug (2633): tunnel à vpn.xyz.com n’est pas créé.
Sep 24 09:54:13:897684 Erreur (5547): NetworkDiscoverThread: n’a pas découvert le réseau externe.
Sep 24 09:54:13:897709 Debug (6598): --Définir l’état à déconnecté
Environment
- Palo Alto Networks firewall
- GlobalProtect infrastructure incluant l’abonnement actif pour les appareils iOS
- iOS 13 et macOS 10,15
- SSL/ TLS profil de service
Cause
- Ce problème est causé par l’utilisation d’un certificat qui ne répond pas aux nouvelles exigences d’Apple pour les TLS certificats serveur.
Resolution
Selon Apple, tous les TLS certificats de serveur doivent se conformer à ces nouvelles exigences de sécurité pour le certificat de fiducie dans iOS 13 et macOS 10.15.
- TLS les certificats serveur et l’émission de CA RSA à l’aide de clés doivent utiliser des tailles de clés supérieures ou égales à 2048 bits. Les certificats utilisant RSA des tailles de clés inférieures à 2048 bits ne sont plus fiables TLS pour .
- TLS les certificats de serveur et les CA d’émission doivent utiliser un algorithme de hachage de SHA-2 la famille dans l’algorithme de signature. SHA-1 les certificats signés ne sont plus dignes de confiance TLS pour .
- TLS les certificats de serveur doivent présenter DNS le nom du serveur dans l’extension nom alternatif du certificat. DNS les noms dans le nom commun du certificat ne sont plus dignes de confiance.
- TLS les certificats de serveur doivent contenir une extension ExtendedKeyUsage EKU () contenant l’id-kp-serverAuth OID .
- TLS les certificats serveur doivent avoir une période de validité de 825 jours ou moins (tel qu’exprimé dans les champs NotBefore et NotAfter des certificats)
Additional Information
Pour plus d’informations supplémentaires concernant les nouvelles exigences d’Apple SSL / TLS certificat, s’il vous plaît se référer à la documentation suivante fournie ici.