Cómo solucionar 'El certificado de servidor no es válido. Póngase en contacto con su IT administrador.' error GlobalProtect en cuando las conexiones de cliente se están proxied.

52186

Created On 01/11/21 15:35 PM - Last Modified 09/28/23 23:26 PM

Symptom

Los sistemas cliente pueden conectarse correctamente a GlobalProtect Portal y Gateway sin ningún mecanismo de proxy implicado.
Siempre que se habilita un determinado mecanismo proxying, los sistemas cliente no pueden conectarse a GlobalProtect Gateway con el siguiente mensaje de error visto en la aplicación:

La GlobalProtect dirección del portal es accesible mediante un navegador web:

Se GlobalProtect están instalando certificados correctos en el sistema cliente.
Por lo tanto, el sistema cliente confía en el certificado del emisor/raíz CA GlobalProtect para el certificado SSL 's/ TLS /Server:

Environment

Palo Alto Firewall
PAN-OS 8.1 y superior
GlobalProtect VPNInfraestructura.
A mecanismo de proxy del lado cliente en su lugar para GlobalProtect y/u otras conexiones de red.

Cause

Se ha observado que algunos servicios proxy utilizan sus propios certificados o cambian los certificados sobre la marcha en ciertas circunstancias para establecer el TLS canal (por ejemplo, Policy los servicios proxy basados pueden realizar el descifrado en el tráfico). La GlobalProtect aplicación no es consciente ni puede verificar estos certificados.

Por lo tanto, GlobalProtect los usuarios no pueden conectarse a pesar de los certificados VPN correctos para el servidor que ya GlobalProtect son de confianza por los clientes / usuarios.

Resolution

Algunas sugerencias para abordar este problema pueden incluir, entre otras:

En GUI : > de red > portal > agente > GlobalProtect externo, si FQDN se utiliza para hacer referencia a la puerta de GlobalProtect enlace, intente utilizar IP la dirección en su lugar:

Si es posible, deshabilite el servicio proxy al conectarse a GlobalProtect VPN .

Si el uso del servicio proxy es absolutamente obligatorio, busque ayuda del proveedor de servicios proxy para comprender si:

¿Las SSL conexiones se pueden proxied transparentemente utilizando el certificado original presentado por, por GlobalProtect ejemplo, SSL Passthrough o se pueden ofrecer mecanismos similares?
¿Se puede omitir el servicio proxy para la GlobalProtect aplicación?
¿El GlobalProtect certificado de servidor se puede utilizar para establecer la conexión SSL proxy?
¿Alguna otra alternativa que pueda conservar el SSL certificado presentado por los GlobalProtect clientes?

Additional Information

Para reafirmar que este problema se experimenta debido a la modificación del certificado de servidor por servicio proxy, GlobalProtect el archivo de registros (PanGPS) se puede buscar mensajes similares:

...... try to connect to proxy, nProxyIP=964fa79d, proxyPort=8081, proto=6
...... connect to proxy now
...... s=908, destName=1.2.3.4, nPort=443, nProxyIP=964fa79d, nProxyPort=8081, proxyuser=, proxypass=
...... Proxy connection established
...... Unable to verify server cert. Result is unable to get local issuer certificate 
...
...... Failed to verify server certificate of gateway example.com.
...... Show Gateway GP-External-Gateway: The server certificate is invalid. Please contact your IT administrator.
...... Failed to retrieve info for gateway example.com.

Refiérase también

Configuración del certificado
El segundo artículo sobre certificado de servidor no válido cuando no se utiliza proxy.