如何通过 GP 客户端证书认证解决温特普错误
22795
Created On 10/29/20 22:10 PM - Last Modified 03/26/21 18:45 PM
Symptom
GlobalProtect 在 PanGPA 中出现以下 WinHTTP 错误时,身份验证失败.log:
ERROR_WINHTTP_CLIENT_CERT_NO_ACCESS_PRIVATE_KEY
Environment
- GlobalProtect 基础 设施
- 视窗环境
Cause
当 PanGPA 在用户存储中搜索客户端证书并找到它但无法访问私钥时,通常出现此问题。
有关这些错误消息,请参阅 Microsoft 文档:https://docs.microsoft.com/en-us/windows/win32/winhttp/error-messages
Resolution
- 确保"网络服务"具有读取私钥的权限。 这些权限使用 Certlm.msc 分配,通过选择证书,从上下文菜单中选择"所有任务,管理私钥"。
- 如果使用门户配置或 Windows 注册表从计算机存储而不是用户存储获取客户端证书,也可以避免此问题。 这是因为用户帐户有时可能不具有访问私钥的必要权限。
注:视窗注册处 SOFTWARE :HKEY_LOCAL_MACHINE\[帕洛阿尔托网络 GlobalProtect ][设置 >证书商店查找]机器
- 此外,如果客户端证书未导入到具有私钥的证书存储.log则显示以下错误:ERROR_WINHTTP_CLIENT_CERT_NO_PRIVATE_KEY
- 若要解决此问题,请确保使用私钥导入证书。 如果生成, firewall 请使用 PKCS12 格式的私钥导出证书,其中包括私钥。