Changer entre GlobalProtect les portails provoque une erreur « Le certificat client est invalide »

Changer entre GlobalProtect les portails provoque une erreur « Le certificat client est invalide »

9647
Created On 01/11/21 20:17 PM - Last Modified 10/21/21 02:18 AM


Symptom


En changeant entre GlobalProtect les connexions Portal, les utilisateurs peuvent parfois voir l’erreur « Connexion échouée. Le certificat du client n’est pas valide. Veuillez contacter votre IT administrateur.
Dans les moments où l’utilisateur vient d’être connecté au Portail, puis changé en un autre, puis en arrière, cette erreur peut être vu malgré le certificat étant valide / pas révoqué et configuré correctement.

Environment


  • PAN-OS
  • GlobalProtect
  • Profil de certificat pour l’authentification

Cause


Dans les cas où différents portails utilisent des profils de certificat, il n’y a qu’une seule valeur pour la recherche de magasin de certificat Si Portal nécessite un certificat valide de la boutique utilisateur et portal nécessite un certificat valide de HKEY
la boutique A B Machine, l’accès peut être bloqué à partir d’un portail ou l’autre que seule la configuration de la valeur certificat-magasin-recherche / plist sera enregistrée à partir HKEY du dernier portail consulté config, pas à partir de chaque portail enregistré individuellement.
 

Resolution


  1. Dans Windows,ouvrez votre menu Démarrer et tapez « Registry Editor », ou pour Mac accédez à votre liste (Étape 1 dans les deux hyperliens pour l’emplacement d’accès)
  2. Le paramètre pour la recherche de magasin de certificats doit afficher la dernière recherche de magasin de Portal accessible (LastUrl montrant le portail dernier accès)HKEY valeur dans Windows affichant le paramètre certificat-magasin-emplacement
  3. Si l’accès à un portail qui nécessite un certificat et la configuration est pour l’utilisateur ou la machine spécifiquement (par défaut est l’utilisateur et la machine), alors cela peut être temporairement modifié soit à l’utilisateur et la machine ou à la boutique spécifique qui doit être consulté pour un certificat client approprié (utilisateur ou machine, la valeur des données doit être dans tous les minuscules)
  4. Alternativement, la configuration du portail peut avoir besoin de supprimer les profils de certificat et d’utiliser l’authentification des certificats pour les passerelles, où la configuration du portail pour la recherche de magasins de certificats a déjà été récupérée après avoir réussi à se connecter

Additional Information


Pour définir la recherche client certificate store via firewall webgui du portail, accédez à Network > GlobalProtect Portals > Portal Name > Agent > App > Client Certificate Store Lookup
Emplacement pour la configuration de la recherche du magasin de certificats clients de Portal
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HCFJCA4&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language