Comment corriger 'Le certificat serveur est invalide. Veuillez contacter IT votre administrateur. GlobalProtect

Comment corriger 'Le certificat serveur est invalide. Veuillez contacter IT votre administrateur. GlobalProtect

52182
Created On 01/11/21 15:35 PM - Last Modified 09/28/23 23:26 PM


Symptom


  • Les systèmes clients sont en mesure de se connecter avec GlobalProtect succès à Portal et Gateway sans aucun mécanisme proxying impliqué.
  • Chaque fois qu’un certain mécanisme proxying est activé, les systèmes clients ne sont pas en mesure de se connecter GlobalProtect à Gateway avec le message d’erreur suivant vu sur l’application :
 Image ajoutée par l'utilisateur
 
  • GlobalProtectL’adresse Portal est accessible à l’aide d’un navigateur Web :
Image ajoutée par l'utilisateur
  • Des GlobalProtect certificats corrects sont installés sur le système client.
  • Ainsi, le certificat émetteur/root CA pour GlobalProtect 's SSL / TLS /Server certificat est approuvé par le système client:
 
Image ajoutée par l'utilisateur

 

    Environment


    • Palo Alto (Palo Alto) Firewall
    • PAN-OS 8.1 et au-dessus
    • GlobalProtect VPNInfrastructure.
    • A mécanisme de proxying côté client en place pour GlobalProtect et/ou d’autres connexions réseau.

    Cause


    Il a été observé que certains services proxy utilisent leurs propres certificats ou modifient les certificats à la volée dans certaines circonstances TLS pour établir le canal (par exemple, les services proxy basés peuvent effectuer un Policy décryptage sur le trafic). La GlobalProtect demande n’est pas au courant ni en mesure de vérifier ces certificats.

    Ainsi, les GlobalProtect utilisateurs ne sont pas autorisés à se connecter à malgré les VPN certificats corrects GlobalProtect pour le serveur étant déjà approuvé par les clients / utilisateurs.

     

    Resolution


    Certaines suggestions pour résoudre ce problème peuvent inclure, mais ne se limitent pas à :
    1. Sous GUI : Network > > Portal > Agent > External , GlobalProtect sielle FQDN est utilisée pour désigner GlobalProtect Gateway, essayez plutôt d’utiliser IP l’adresse :
    Image ajoutée par l'utilisateur
     
    1. Si possible, désactivez le service Proxy lorsque vous vous connectez à GlobalProtect VPN .
    Si l’utilisation du service proxy est absolument obligatoire, demandez l’aide du fournisseur de services Proxy pour comprendre si :
    1. Les SSL connexions peuvent être proxiées en toute transparence à l’aide du certificat original GlobalProtect présenté par p. ex. SSL Passthrough ou des mécanismes similaires peuvent être offerts?
    2. Le service Proxy peut être contourné pour GlobalProtect l’application ?
    3. Le GlobalProtect certificat serveur peut être utilisé pour établir la connexion Proxy SSL ?
    4. Toute autre solution qui pourrait conserver SSL le certificat présenté par les GlobalProtect clients?
     
     

      Additional Information


      Pour réaffirmer que ce problème est connu en raison de la modification du certificat serveur par service proxy, GlobalProtect le fichier journaux (PanGPS) peut être recherché pour des messages similaires:
      ...... try to connect to proxy, nProxyIP=964fa79d, proxyPort=8081, proto=6
...... connect to proxy now
...... s=908, destName=1.2.3.4, nPort=443, nProxyIP=964fa79d, nProxyPort=8081, proxyuser=, proxypass=
...... Proxy connection established
...... Unable to verify server cert. Result is unable to get local issuer certificate 
...
...... Failed to verify server certificate of gateway example.com.
...... Show Gateway GP-External-Gateway: The server certificate is invalid. Please contact your IT administrator.
...... Failed to retrieve info for gateway example.com.
      Se référer également
      Other users also viewed:
      Actions
      • Print
      • Copy Link

        https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HCF4CAO&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

      Choose Language