Das Wechseln zwischen GlobalProtect Portalen führt zu Einem Fehler "Das Clientzertifikat ist ungültig"
9653
Created On 01/11/21 20:17 PM - Last Modified 10/21/21 02:18 AM
Symptom
Beim Wechseln zwischen GlobalProtect Portalverbindungen können Benutzer gelegentlich die Fehlermeldung "Verbindung fehlgeschlagen" sehen. Das Clientzertifikat ist ungültig. Wenden Sie sich an Ihren IT Administrator."
In Zeiten, in denen der Benutzer gerade mit dem Portal verbunden und dann zu einem anderen und dann wieder zurück gewechselt wurde, kann dieser Fehler angezeigt werden, obwohl das Zertifikat gültig/nicht widerrufen und ordnungsgemäß konfiguriert wurde.
Environment
- PAN-OS
- GlobalProtect
- Zertifikatprofil für die Authentifizierung
Cause
In Fällen, in denen verschiedene Portale Zertifikatsprofile verwenden, gibt es nur einen HKEY Wert für die Zertifikatspeichersuche
Wenn Portal ein A gültiges Zertifikat aus dem Benutzerspeicher erfordert und Portal B ein gültiges Zertifikat aus dem Computerspeicher erfordert, kann der Zugriff von einem Portal oder dem anderen blockiert werden, da nur die Konfiguration des Zertifikat-Store-Lookup/plist-Werts HKEY aus der letzten Portal-Konfiguration gespeichert wird, nicht von jedem Portal, das einzeln gespeichert wird.
Resolution
- Öffnen Sie in Windowsihr Startmenü und geben Sie "Registrierungs-Editor" ein, oder geben Sie für Mac auf Ihren Plist zu (Schritt 1 in beiden Hyperlinks für den Zugriffsspeicherort)
- Die Einstellung für die Zertifikatspeichersuche sollte die Shopsuche des letzten Portals anzeigen (LastUrl zeigt das Portal mit letztem Zugriff an)
- Wenn der Zugriff auf ein Portal, für das ein Zertifikat erforderlich ist, und die Konfiguration speziell für Benutzer oder Maschine (Standard ist Benutzer und Maschine) ist, kann dies vorübergehend entweder in Benutzer und Computer oder in den bestimmten Speicher geändert werden, auf den für ein ordnungsgemäßes Clientzertifikat zugegriffen werden muss (Benutzer oder Computer, Datenwert sollte in allen Kleinbuchstaben sein)
- Alternativ muss die Konfiguration für das Portal möglicherweise Zertifikatprofile entfernen und die Zertifikatauthentifizierung für Gateways verwenden, wobei die Konfiguration des Portals für die Zertifikatspeichersuche nach erfolgreicher Verbindung bereits abgerufen wurde.
Additional Information
Zum Festlegen der Clientzertifikatspeichersuche über die WebGUI des firewall Portals greifen Sie auf Network > GlobalProtect Portals > Portalname > Agent > App > Client Certificate Store Lookup zu.