如何修复'服务器证书无效。 IT GlobalProtect 当客户端连接被接近时,请联系您的管理员。
52204
Created On 01/11/21 15:35 PM - Last Modified 09/28/23 23:26 PM
Symptom
- 客户端系统能够成功连接到 GlobalProtect 门户和网关,无需涉及任何代理机制。
- 每当启用某个代理机制时,客户端系统无法 GlobalProtect 与应用中看到的以下错误消息连接到网关:
- GlobalProtect使用 Web 浏览器可联系到门户地址:
- GlobalProtect客户端系统上正在安装正确的证书。
- 因此,客户 CA GlobalProtect SSL TLS 端系统信任发行人/服务器证书的根证书:
Environment
- 帕洛阿尔托 Firewall
- PAN-OS 8.1及以上
- GlobalProtect VPN基础 设施。
- A 客户端代理机制已到位,用于 GlobalProtect 和/或其他网络连接。
Cause
据观察,某些代理服务在某些情况下使用自己的证书或更改证书以建立 TLS 通道(例如 Policy ,基于代理服务的代理服务可对流量进行解密)。 GlobalProtect申请不知道也无法验证这些证书。
因此, GlobalProtect VPN 尽管 GlobalProtect 客户/用户已经信任服务器的正确证书,用户仍不得连接。
Resolution
解决此问题的一些建议可能包括但不限于:
- 下 GUI : 网络 GlobalProtect >>门户>代理>外部,如果 FQDN 用于指 GlobalProtect 网关,请尝试使用 IP 地址:
- 如果可能,在连接到 。时禁用代理服务 GlobalProtect VPN 。
- 可以 SSL 使用通过 GlobalProtect SSL 或提供类似机制等提供的原始证书,透明地实现连接?
- 代理服务可以绕过 GlobalProtect 应用程序?
- GlobalProtect服务器证书可用于建立代理 SSL 连接?
- 是否有任何其他替代方案可以保留 SSL 客户提交的证书 GlobalProtect ?
Additional Information
为了重申由于代理服务修改服务器证书而遇到此问题, GlobalProtect 可以搜索日志文件 (PanGPS) 以搜索类似的消息:
...... try to connect to proxy, nProxyIP=964fa79d, proxyPort=8081, proto=6 ...... connect to proxy now ...... s=908, destName=1.2.3.4, nPort=443, nProxyIP=964fa79d, nProxyPort=8081, proxyuser=, proxypass= ...... Proxy connection established ...... Unable to verify server cert. Result is unable to get local issuer certificate ... ...... Failed to verify server certificate of gateway example.com. ...... Show Gateway GP-External-Gateway: The server certificate is invalid. Please contact your IT administrator. ...... Failed to retrieve info for gateway example.com.