So beheben Sie WinHTTP-Fehler mit GP der Clientzertifikatauthentifizierung
22787
Created On 10/29/20 22:10 PM - Last Modified 03/26/21 18:45 PM
Symptom
GlobalProtect Die Authentifizierung schlägt mit dem folgenden WinHTTP-Fehler in PanGPA fehl.log:
ERROR_WINHTTP_CLIENT_CERT_NO_ACCESS_PRIVATE_KEY
Environment
- GlobalProtect Infrastruktur
- Windows-Umgebung
Cause
Dieses Problem tritt in der Regel auf, wenn PanGPA im Benutzerspeicher nach dem Clientzertifikat sucht und es findet, aber keinen Zugriff auf den privaten Schlüssel hat.
Diese Fehlermeldungen finden Sie in der Microsoft-Dokumentation: https://docs.microsoft.com/en-us/windows/win32/winhttp/error-messages
Resolution
- Stellen Sie sicher, dass "Netzwerkdienst" über Berechtigungen zum Lesen des privaten Schlüssels verfügt. Diese Berechtigungen werden mit Certlm.msc zugewiesen, indem Sie das Zertifikat auswählen und im Kontextmenü "Alle Aufgaben verwalten, private Schlüssel verwalten" auswählen.
- Dieses Problem kann auch vermieden werden, wenn das Clientzertifikat mithilfe der Portalkonfiguration oder der Windows-Registrierung aus dem Computerspeicher und nicht aus dem Benutzerspeicher abgerufen wird. Das liegt daran, dass das Benutzerkonto manchmal nicht über die erforderlichen Berechtigungen für den Zugriff auf den privaten Schlüssel verfügt.
Hinweis: Windows-Registrierung: HKEY_LOCAL_MACHINE - SOFTWARE Palo Alto Networks - GlobalProtect Einstellungen > Zertifikat-Store-Lookup=Maschine
- Wenn das Clientzertifikat nicht mit einem privaten Schlüssel in den Zertifikatspeicher importiert wird, zeigt PanGPA.log den folgenden Fehler an: ERROR_WINHTTP_CLIENT_CERT_NO_PRIVATE_KEY
- Stellen Sie sicher, dass das Zertifikat mit dem privaten Schlüssel importiert wird, um dieses Problem zu beheben. Wenn auf der firewall generiert, exportieren Sie das Zertifikat mit dem privaten Schlüssel im PKCS12-Format, das den privaten Schlüssel enthält.