Cómo resolver errores winhttp con GP autenticación de certificado de cliente
22785
Created On 10/29/20 22:10 PM - Last Modified 03/26/21 18:45 PM
Symptom
GlobalProtect La autenticación falla con el siguiente error WinHTTP en PanGPA.log:
ERROR_WINHTTP_CLIENT_CERT_NO_ACCESS_PRIVATE_KEY
Environment
- GlobalProtect Infraestructura
- Entorno de Windows
Cause
Este problema suele producirse cuando PanGPA busca el certificado de cliente en el almacén de usuarios y lo encuentra, pero no tiene acceso a la clave privada.
Consulte la documentación de Microsoft para ver estos mensajes de error: https://docs.microsoft.com/en-us/windows/win32/winhttp/error-messages
Resolution
- Asegúrese de que 'Servicio de red' tiene permisos para leer la clave privada. Estos permisos se asignan mediante Certlm.msc, seleccionando el certificado y seleccionando 'Todas las tareas, Administrar claves privadas' en el menú contextual.
- Este problema también se puede evitar si el certificado de cliente se obtiene del almacén de máquinas en lugar del almacén de usuarios mediante la configuración del portal o el registro de Windows. Esto se debe a que la cuenta de usuario a veces puede no tener los permisos necesarios para acceder a la clave privada.
Nota: Registro de Windows: HKEY_LOCAL_MACHINE\ SOFTWARE \Palo Alto Networks\ GlobalProtect \Settings > certificate-store-lookup=machine
- Además, si el certificado de cliente no se importa al almacén de certificados con una clave privada, PanGPA.log mostrará el siguiente error: ERROR_WINHTTP_CLIENT_CERT_NO_PRIVATE_KEY
- Para resolver esto, asegúrese de que el certificado se importa con la clave privada. Si se genera en el firewall , exporte el certificado con la clave privada en formato PKCS12 que incluirá la clave privada.