「サーバー証明書の検証に失敗したため、iOS 13 と macOS 10.15 でグローバル保護が接続されない」
44522
Created On 10/07/20 19:55 PM - Last Modified 03/26/21 18:41 PM
Symptom
- GlobalProtectiOSデバイスとmacOSでアプリを接続できない、PanGPSログで以下のエラーメッセージを受信し、
9月 24 09:54:13:879712 情報 (1009): 信頼できるアンカーを追加する (
" <cert(0x149f220c0) s: DPP-ROOT i: DPP-ROOT >"
)
9月 24 09:54:13:890370 デバッグ(1021): 信頼評価結果 {
信頼評価日 = "2020-09-24 16:54:13 +0000";
信頼結果の詳細 = (
{
有効期間の最大値 = 0;
},
{
}
);
結果値 = 5;
}
9月 24 09:54:13:890670 デバッグ(1035): 信頼評価プロパティ (
{
型 = エラー;
値 = " Policy 要件が満たされていません。
} )
証明書:
データ:
バージョン: 3 (0x2)
シリアル番号:
2f:4b:e4:a3:00:01:00:00:00:20
署名アルゴリズム: sha256WithRSAEncryption
発行者: DC =ローカル, DC =dpp, CN = DPP-ROOT
前
の有効性: 9月18日 05:16:05 2020 GMT
後: 9月17日 05:16:05 2025 GMT
9月 24 09:54:13:892918 エラー( 522): サーバートラストラバダイオン失敗: 5
接続: 0x149f18070, タイプ: 2, ホスト: [vpn.xyz.com:443],元ホスト: [vpn.xyz.com], 常に: 0
セッション: <__NSURLSessionLocal: 0x149e20920="">-[GPURLConnection セッション] <NSOperationQueue: 0x149e203e0="">{nsOperationQueue 0x149e203e0'' {nsOperationQueue 0x149e203e0'}
9月 24 日 09:54:13:897415 デバッグ(5506): ゲートウェイ vpn.xyz.com を表示: サーバー証明書の検証が失敗しました
24 9 月 24 09:54:1 3:897472 Info ( 266): セッション<__NSURLSessionLocal: 0x149e20920="">セット (null)
9 月 24 09:54:13:897534 デバッグ(3560): ipv6
Sep 24 09:54:13:897567 デバッグ(55) GlobalProtect を使用せずにゲートウェイ (null) vpn.xyz.com にログインします。 06): ゲートウェイ vpn.xyz.com を表示: ゲートウェイに接続できませんでした。</__NSURLSessionLocal:> </NSOperationQueue:> </__NSURLSessionLocal:> 管理者に問い合わせてください IT 。
9 月 24 09:54:13:897589 Debug(3881): ゲートウェイへの事前ログイン vpn.xyz.com に失敗した
9 月 24 09:54:13:897614 情報 (2622): ゲートウェイ vpn.xyz.com の情報を取得できませんでした。
9 月 24 09:54:13:897638 デバッグ(1026): セッションのクリーンアップ。
9 月 24 09:54:13:897660 デバッグ(2633): vpn.xyz.com へのトンネルが作成されません。
9 月 24 09:54:13:897684 エラー(5547): ネットワーク発見スレッド: 外部ネットワークを検出できませんでした。
9月 24 09:54:13:897709 デバッグ(6598): --状態を切断に設定する
)
9月 24 09:54:13:890370 デバッグ(1021): 信頼評価結果 {
信頼評価日 = "2020-09-24 16:54:13 +0000";
信頼結果の詳細 = (
{
有効期間の最大値 = 0;
},
{
}
);
結果値 = 5;
}
9月 24 09:54:13:890670 デバッグ(1035): 信頼評価プロパティ (
{
型 = エラー;
値 = " Policy 要件が満たされていません。
} )
証明書:
データ:
バージョン: 3 (0x2)
シリアル番号:
2f:4b:e4:a3:00:01:00:00:00:20
署名アルゴリズム: sha256WithRSAEncryption
発行者: DC =ローカル, DC =dpp, CN = DPP-ROOT
前
の有効性: 9月18日 05:16:05 2020 GMT
後: 9月17日 05:16:05 2025 GMT
9月 24 09:54:13:892918 エラー( 522): サーバートラストラバダイオン失敗: 5
接続: 0x149f18070, タイプ: 2, ホスト: [vpn.xyz.com:443],元ホスト: [vpn.xyz.com], 常に: 0
セッション: <__NSURLSessionLocal: 0x149e20920="">-[GPURLConnection セッション] <NSOperationQueue: 0x149e203e0="">{nsOperationQueue 0x149e203e0'' {nsOperationQueue 0x149e203e0'}
9月 24 日 09:54:13:897415 デバッグ(5506): ゲートウェイ vpn.xyz.com を表示: サーバー証明書の検証が失敗しました
24 9 月 24 09:54:1 3:897472 Info ( 266): セッション<__NSURLSessionLocal: 0x149e20920="">セット (null)
9 月 24 09:54:13:897534 デバッグ(3560): ipv6
Sep 24 09:54:13:897567 デバッグ(55) GlobalProtect を使用せずにゲートウェイ (null) vpn.xyz.com にログインします。 06): ゲートウェイ vpn.xyz.com を表示: ゲートウェイに接続できませんでした。</__NSURLSessionLocal:> </NSOperationQueue:> </__NSURLSessionLocal:> 管理者に問い合わせてください IT 。
9 月 24 09:54:13:897589 Debug(3881): ゲートウェイへの事前ログイン vpn.xyz.com に失敗した
9 月 24 09:54:13:897614 情報 (2622): ゲートウェイ vpn.xyz.com の情報を取得できませんでした。
9 月 24 09:54:13:897638 デバッグ(1026): セッションのクリーンアップ。
9 月 24 09:54:13:897660 デバッグ(2633): vpn.xyz.com へのトンネルが作成されません。
9 月 24 09:54:13:897684 エラー(5547): ネットワーク発見スレッド: 外部ネットワークを検出できませんでした。
9月 24 09:54:13:897709 デバッグ(6598): --状態を切断に設定する
Environment
- パロ ・ アルトのネットワーク firewall
- GlobalProtect iOS デバイスのアクティブなサブスクリプションを含むインフラストラクチャ
- iOS 13 と macOS 10.15
- SSL/ TLS サービスプロファイル
Cause
- この問題は、Apple のサーバー証明書の新しい要件を満たしていない証明書を使用することによって発生 TLS します。
Resolution
Apple に従って、すべての TLS サーバー証明書は、iOS 13 および macOS 10.15 の信頼証明書に関するこれらの新しいセキュリティ要件に準拠している必要があります。
- TLS サーバー証明書とキーを使用した発行 CA では RSA 、2048 ビット以上のキー サイズを使用する必要があります。 RSA2048 ビットより小さいキー サイズを使用する証明書は、 に対して信頼されなくなりました TLS 。
- TLS サーバ証明書と発行 CA は、 SHA-2 署名アルゴリズムでファミリのハッシュ アルゴリズムを使用する必要があります。 SHA-1 署名された証明書は、 に対して信頼されなくなりました TLS 。
- TLS サーバー証明書は、 DNS 証明書のサブジェクトの別名拡張子でサーバーの名前を提示する必要があります。 DNS 証明書の CommonName の名前は信頼されなくなりました。
- TLS サーバー証明書には EKU 、id-kp-serverAuth を含む拡張キー使用法 ( ) 拡張が含まれている必要があります OID 。
- TLS サーバー証明書の有効期間は 825 日以下である必要があります (証明書の NotBefore フィールドと NotAfter フィールドに示されている)
Additional Information
Apple の新しい証明書要件に関する補足情報については SSL TLS 、こちらのドキュメントをご参照 ください。