由于"服务器证书验证失败",全局保护在 iOS 13 和 macOS 10.15 中无法连接
56709
Created On 10/07/20 19:55 PM - Last Modified 03/26/21 18:41 PM
Symptom
- 无法 GlobalProtect 在iOS设备和macOS中连接应用程序,在泛GPS日志中接收以下错误消息,
9 月 24 日 09:54:13:879712 信息 (1009): 添加受信任的锚点 (
<cert(0x149f220c0) s: DPP-ROOT "i: DPP-ROOT >"
)
9月24日 09:54:13:890370 Debug (1021): 信托评估结果 •
信托评估日 = "2020-09-24 16:54:13 +0000":
信任最后尾部
=({
有效期最大妈妈=0:
},
{
}
);
信任价值=5:
9月24日 09:54:13:890670 Debug (1035): 信托评估属性
(+
类型 = 错误:
值= " Policy 不符合要求":
•
证书:
数据
: 版本: 3 (0x2)
序列号:
2f:4b:e4:a3:00:01:00:00:00:20
签名算法: sha256 与 RSA 加密
发行人: DC =本地, DC [dpp, CN = DPP-ROOT
有效性
不之前: 9 月 18 日 05:16:05 2020 GMT
不后 : 9 月 17 日 05:16:05 2025 GMT
九月 24 09:54:13:892918 错误 (522): 服务器信任评估失败: 5
连接: 0x149f18070, 类型: 2, 主机: [vpn.xyz.com:443], 原始主机: [vpn.xyz.com], 始终信任: 0
会话: <__NSURLSessionLocal: 0x149e20920="">-[GPURL 连接会话] <NSOperationQueue: 0x149e203e0="">[名称] "NS 操作奎0x149e203e0"]
9 月 24 日 09:54:13:897415 Debug (5506): 显示网关 vpn.xyz.com: 服务器证书验证失败
9 月 24 日 09:54:13:897472 信息 (266): 会话<__NSURLSessionLocal: 0x149e20920="">设置为 (空)
9 月 24 日 09:54:13:897534 Debug (3560): 登录网关 (空) vpn.xyz.com 无 ipv6
九月 24 09:54:13:89 7567 Debug (5506): 显示网关 vpn.xyz.com: 无法连接到 GlobalProtect 网关。</__NSURLSessionLocal:> </NSOperationQueue:> </__NSURLSessionLocal:> 请联系您的 IT 管理员。
9月24日 09:54:13:897589 Debug (3881): 未能预登录网关 vpn.xyz.com
9 月 24 日 09:54:13:897614 信息 (2622): 未能检索网关 vpn.xyz.com 信息。
9 月 24 日 09:54:13:897638 Debug (1026): 会话清理。
9月24日 09:54:13:897660 Debug (2633): 隧道到 vpn.xyz.com 不创建。
9月24日 09:54:13:897684 错误 (5547): 网络发现阅读: 未能发现外部网络。
9 月 24 日 09:54:13:897709 Debug (6598): -- 设置状态以断开连接状态
)
9月24日 09:54:13:890370 Debug (1021): 信托评估结果 •
信托评估日 = "2020-09-24 16:54:13 +0000":
信任最后尾部
=({
有效期最大妈妈=0:
},
{
}
);
信任价值=5:
9月24日 09:54:13:890670 Debug (1035): 信托评估属性
(+
类型 = 错误:
值= " Policy 不符合要求":
•
证书:
数据
: 版本: 3 (0x2)
序列号:
2f:4b:e4:a3:00:01:00:00:00:20
签名算法: sha256 与 RSA 加密
发行人: DC =本地, DC [dpp, CN = DPP-ROOT
有效性
不之前: 9 月 18 日 05:16:05 2020 GMT
不后 : 9 月 17 日 05:16:05 2025 GMT
九月 24 09:54:13:892918 错误 (522): 服务器信任评估失败: 5
连接: 0x149f18070, 类型: 2, 主机: [vpn.xyz.com:443], 原始主机: [vpn.xyz.com], 始终信任: 0
会话: <__NSURLSessionLocal: 0x149e20920="">-[GPURL 连接会话] <NSOperationQueue: 0x149e203e0="">[名称] "NS 操作奎0x149e203e0"]
9 月 24 日 09:54:13:897415 Debug (5506): 显示网关 vpn.xyz.com: 服务器证书验证失败
9 月 24 日 09:54:13:897472 信息 (266): 会话<__NSURLSessionLocal: 0x149e20920="">设置为 (空)
9 月 24 日 09:54:13:897534 Debug (3560): 登录网关 (空) vpn.xyz.com 无 ipv6
九月 24 09:54:13:89 7567 Debug (5506): 显示网关 vpn.xyz.com: 无法连接到 GlobalProtect 网关。</__NSURLSessionLocal:> </NSOperationQueue:> </__NSURLSessionLocal:> 请联系您的 IT 管理员。
9月24日 09:54:13:897589 Debug (3881): 未能预登录网关 vpn.xyz.com
9 月 24 日 09:54:13:897614 信息 (2622): 未能检索网关 vpn.xyz.com 信息。
9 月 24 日 09:54:13:897638 Debug (1026): 会话清理。
9月24日 09:54:13:897660 Debug (2633): 隧道到 vpn.xyz.com 不创建。
9月24日 09:54:13:897684 错误 (5547): 网络发现阅读: 未能发现外部网络。
9 月 24 日 09:54:13:897709 Debug (6598): -- 设置状态以断开连接状态
Environment
- 帕洛阿尔托网络 firewall
- GlobalProtect 基础设施,包括 iOS 设备的主动订阅
- ios 13 和 macOS 10.15
- SSL/ TLS 服务简介
Cause
- 此问题是由使用不符合 Apple 服务器证书新要求的 TLS 证书引起的。
Resolution
根据 Apple 的规定,所有 TLS 服务器证书必须符合 iOS 13 和 macOS 10.15 中信任证书的这些新安全要求。
- TLS 使用密钥的服务器证书和签发的 CA RSA 必须使用大于或等于 2048 位的密钥大小。 使用 RSA 小于 2048 位的密钥大小的证书不再值得信任 TLS 。
- TLS 服务器证书和签发的 CA 必须在签名算法中使用 SHA-2 来自家庭的哈希算法。 SHA-1 已签署的证书不再值得信任 TLS 。
- TLS 服务器证书必须在证书的主题 DNS 替代名称扩展中提供服务器的名称。 DNS 证书的共同名称中的名称不再受信任。
- TLS 服务器证书必须包含 EKU 包含 ID-kp 服务器身份的扩展 OID 。
- TLS 服务器证书的有效期必须为 825 天或更少(如证书的"不之前"和"不"字段中所示)
Additional Information
有关 Apple 新 SSL /证书要求的附加信息 TLS ,请参阅此处提供的以下文档。