So beheben Sie 'Das Serverzertifikat ist ungültig. Wenden Sie sich an Ihren IT Administrator.' Fehler bei der Zugriffsanzeige von GlobalProtect Clientverbindungen.
52188
Created On 01/11/21 15:35 PM - Last Modified 09/28/23 23:26 PM
Symptom
- Clientsysteme können erfolgreich eine Verbindung mit Portal und Gateway herstellen, ohne dass GlobalProtect ein Proxying-Mechanismus erforderlich ist.
- Wenn ein bestimmter Proxying-Mechanismus aktiviert ist, können Clientsysteme keine Verbindung mit Gateway herstellen, GlobalProtect wobei die folgende Fehlermeldung in der Anwendung angezeigt wird:
- Die GlobalProtect Portaladresse ist über einen Webbrowser erreichbar:
- Korrekte GlobalProtect Zertifikate werden auf dem Clientsystem installiert.
- Dabei wird das Aussteller-/Root-Zertifikat CA für GlobalProtect das SSL TLS /Server-Zertifikat vom Clientsystem als vertrauenswürdig eingestuft:
Environment
- Palo Alto Firewall
- PAN-OS 8.1 und höher
- GlobalProtect VPNInfrastruktur.
- A clientseitigeProxy-Mechanismus für GlobalProtect und/oder andere Netzwerkverbindungen.
Cause
Es wurde beobachtet, dass einige Proxydienste ihre eigenen Zertifikate verwenden oder die Zertifikate unter bestimmten Umständen spontan ändern, um den Kanal einzurichten TLS (z. B. Policy können basierende Proxydienste die Entschlüsselung des Datenverkehrs durchführen). Die GlobalProtect Anwendung ist nicht bekannt oder in der Lage, diese Zertifikate zu überprüfen.
Dadurch dürfen die GlobalProtect Benutzer keine Verbindung herstellen, obwohl die richtigen VPN Zertifikate für GlobalProtect Server, die bereits von den Clients/Benutzern vertraut sind, vorhanden sind.
Resolution
Einige Vorschläge zur Begebung dieses Problems können Folgendes umfassen, sind aber nicht beschränkt auf:
- Unter GUI : Netzwerk-> GlobalProtect > Portal > Agent > Extern, wenn es verwendet FQDN wird, um auf Gateway zu GlobalProtect verweisen, versuchen Sie stattdessen, Adresse zu IP verwenden:
- Deaktivieren Sie nach Möglichkeit den Proxydienst, wenn Sie eine Verbindung mit GlobalProtect VPN herstellen.
- Die Anschlüsse können transparent mit dem Originalzertifikat transparent SSL proxidiert werden, das GlobalProtect z.B. von SSL Passthrough oder ähnlichen Mechanismen angeboten werden kann?
- Der Proxydienst kann für die Anwendung umgangen GlobalProtect werden?
- Das GlobalProtect Serverzertifikat kann zum Herstellen der Proxyverbindung verwendet SSL werden?
- Eine andere Alternative, die das Zertifikat, das den Kunden vorgelegt wird, aufbewahren SSL GlobalProtect kann?
Additional Information
Um zu bekräftigen, dass dieses Problem aufgrund der Änderung des Serverzertifikats durch den Proxydienst auftritt, kann die GlobalProtect Protokolldatei (PanGPS) nach ähnlichen Nachrichten durchsucht werden:
...... try to connect to proxy, nProxyIP=964fa79d, proxyPort=8081, proto=6 ...... connect to proxy now ...... s=908, destName=1.2.3.4, nPort=443, nProxyIP=964fa79d, nProxyPort=8081, proxyuser=, proxypass= ...... Proxy connection established ...... Unable to verify server cert. Result is unable to get local issuer certificate ... ...... Failed to verify server certificate of gateway example.com. ...... Show Gateway GP-External-Gateway: The server certificate is invalid. Please contact your IT administrator. ...... Failed to retrieve info for gateway example.com.
- Zertifikatkonfiguration
- Der zweite Artikel über Ungültiges Serverzertifikat, wenn Proxy nicht verwendet wird.