Comment résoudre les erreurs WinHTTP avec l’authentification GP du certificat client
22793
Created On 10/29/20 22:10 PM - Last Modified 03/26/21 18:45 PM
Symptom
GlobalProtect l’authentification échoue avec l’erreur WinHTTP suivante dans PanGPA.log :
ERROR_WINHTTP_CLIENT_CERT_NO_ACCESS_PRIVATE_KEY
Environment
- GlobalProtect Infrastructure
- Environnement Windows
Cause
Ce problème se produit généralement lorsque PanGPA recherche le certificat client dans le magasin d’utilisateurs et le trouve, mais n’a pas accès à la clé privée.
Veuillez consulter la documentation Microsoft pour ces messages d’erreur : https://docs.microsoft.com/en-us/windows/win32/winhttp/error-messages
Resolution
- Assurez-vous que « Network Service » a les autorisations de lire la clé privée. Ces autorisations sont attribuées à l’aide de Certlm.msc, en sélectionnant le certificat et en sélectionnant « Toutes les tâches, gérer les clés privées » dans le menu contexte.
- Ce problème peut également être évité si le certificat client est récupéré dans la boutique de machines au lieu du magasin d’utilisateurs en utilisant la configuration du portail ou le registre Windows. C’est parce que le compte utilisateur parfois peut ne pas avoir les autorisations nécessaires pour accéder à la clé privée.
Note: Registre Windows: HKEY_LOCAL_MACHINE\ SOFTWARE \Palo Alto Networks\ GlobalProtect \Paramètres > certificat-store-lookup=machine
- En outre, si le certificat client n’est pas importé au magasin de certificat avec une clé privée, PanGPA.log affichera l’erreur suivante : ERROR_WINHTTP_CLIENT_CERT_NO_PRIVATE_KEY
- Pour résoudre ce problème, assurez-vous que le certificat est importé avec la clé privée. S’il est généré firewall sur le , exporter le certificat avec la clé privée dans le format PKCS12 qui comprendra la clé privée.