'サーバー証明書が無効です。 IT GlobalProtect クライアント接続がプロキシされている場合は、管理者に連絡してください。

'サーバー証明書が無効です。 IT GlobalProtect クライアント接続がプロキシされている場合は、管理者に連絡してください。

52206
Created On 01/11/21 15:35 PM - Last Modified 09/28/23 23:26 PM


Symptom


  • クライアント システムは、 GlobalProtect プロキシ化メカニズムを使用せずに、ポータルとゲートウェイに正常に接続できます。
  • 特定のプロキシメカニズムが有効になると、クライアントシステムは GlobalProtect 、アプリケーションで次のエラーメッセージを表示してゲートウェイに接続できません。
 ユーザー追加イメージ
 
  • GlobalProtectポータル アドレスは、Web ブラウザーを使用して到達可能です。
ユーザー追加イメージ
  • GlobalProtectクライアント システムに正しい証明書がインストールされています。
  • それにより CA GlobalProtect 、's/ SSL /Server 証明書の発行者/ルート TLS 証明書は、クライアント システムによって信頼されます。
 
ユーザー追加イメージ

 

    Environment


    • パロアルト Firewall
    • PAN-OS 8.1 以上
    • GlobalProtect VPNインフラストラクチャ。
    • A クライアント側のプロキシメカニズムを、 GlobalProtect その他のネットワーク接続に対して確立します。

    Cause


    一部のプロキシ サービスは、独自の証明書を使用するか、特定の状況で証明書をその場で変更してチャネルを確立することが確認されています TLS (たとえば Policy 、ベースのプロキシ サービスがトラフィックの復号化を実行する可能性があります)。 GlobalProtectアプリケーションは、これらの証明書を認識せず、検証することもできません。

    こうすることで、 GlobalProtect VPN GlobalProtect クライアント/ユーザーが既に信頼しているサーバーの正しい証明書にもかかわらず、ユーザーは接続を許可されません。

     

    Resolution


    この問題に対処するためのいくつかの提案は、次に限定されるかもしれませんが、これに限定されません。
    1. [ GUI ネットワーク > > ポータル > エージェント GlobalProtect > 外部] で FQDN 、ゲートウェイを参照する場合は GlobalProtect 、 IP 代わりにアドレスを使用してみてください。
    ユーザー追加イメージ
     
    1. 可能な場合は、 に接続するときにプロキシ サービスを無効に GlobalProtect VPN します。
    プロキシ サービスの使用が必須である場合は、プロキシ サービスのベンダに以下の内容を理解する必要があります。
    1. SSLパススルーや同様のメカニズムが提供されるなど、元の証明書を使用して、接続を透過的にプロキシ GlobalProtect SSL できますか?
    2. アプリケーションに対してプロキシ サービスをバイパスできますか GlobalProtect ?
    3. GlobalProtectサーバー証明書を使用してプロキシ接続を確立できますか SSL ?
    4. クライアントに提示された証明書を保持する可能性のある他 SSL GlobalProtect の選択肢はありますか?
     
     

      Additional Information


      プロキシ サービスによるサーバー証明書の変更によりこの問題が発生したことを再確認するには、 GlobalProtect ログ ファイル (PanGPS) で同様のメッセージを検索できます。
      ...... try to connect to proxy, nProxyIP=964fa79d, proxyPort=8081, proto=6
...... connect to proxy now
...... s=908, destName=1.2.3.4, nPort=443, nProxyIP=964fa79d, nProxyPort=8081, proxyuser=, proxypass=
...... Proxy connection established
...... Unable to verify server cert. Result is unable to get local issuer certificate 
...
...... Failed to verify server certificate of gateway example.com.
...... Show Gateway GP-External-Gateway: The server certificate is invalid. Please contact your IT administrator.
...... Failed to retrieve info for gateway example.com.
      参照
      Other users also viewed:
      Actions
      • Print
      • Copy Link

        https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HCF4CAO&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

      Choose Language