门户之间更改 GlobalProtect 会导致错误"客户端证书无效"

9649

Created On 01/11/21 20:17 PM - Last Modified 10/21/21 02:18 AM

Symptom

在 GlobalProtect 门户连接之间更改，偶尔用户可以看到错误"连接失败"。客户端证书无效。请联系您的 IT 管理员。
在用户刚刚连接到门户，然后更改为另一个然后返回时，尽管证书有效/未被撤销并正确配置，但仍可以看到此错误。

Environment

PAN-OS
GlobalProtect
用于身份验证的证书配置文件

Cause

如果不同的门户正在使用证书配置文件， HKEY 则证书商店查找只有一
个值如果 Portal A 需要来自用户商店的有效证书，而 Portal B 需要来自机器商店的有效证书，则访问可能会从一个门户或另一个门户中阻止访问，因为只有证书商店查找 HKEY /plist 值的配置将从上次访问的门户配置中保存，而不是从单独保存的每个门户中保存。

Resolution

在 Windows中，打开"开始"菜单并键入"注册表编辑器"，或为 Mac 访问您的 plist（在两个超链接中的步骤 1，用于访问位置）
证书存储查找的设置应显示上次访问门户的存储查找（LastUrl 显示上次访问过的门户）
如果访问需要证书的门户，并且配置是专门为用户或计算机（默认为用户和计算机），则可以暂时将其修改为用户和计算机或需要访问到适当的客户端证书的特定存储区（用户或计算机，数据值应全部为小写）
或者，门户的配置可能需要删除证书配置文件并使用网关的证书身份验证，在成功连接后，已检索门户的证书存储查找配置

Additional Information

要通过门户网站的WebGUI设置客户证书商店查找 firewall ，请访问门户网站> GlobalProtect 门户>门户名称>代理>应用程序>客户证书商店查找
用于设置门户的客户端证书存储查找的位置