Der GlobalProtect-Client kann aufgrund eines Client- Zertifikat nach dem Upgrade auf GP 6.0.5 oder höher auf iOS-Geräten keine Verbindung herstellen

Der GlobalProtect-Client kann aufgrund eines Client- Zertifikat nach dem Upgrade auf GP 6.0.5 oder höher auf iOS-Geräten keine Verbindung herstellen

11431
Created On 02/22/23 02:14 AM - Last Modified 01/07/25 14:20 PM


Symptom


  • GlobalProtect (GP)-Client im iOS Gerät von 6.0.4 auf 6.0.5 aktualisiert.
  • Nach dem Upgrade kann der GP-Client aufgrund eines Client- Zertifikat keine Verbindung zum Portal/Gateway herstellen.
  • Der Fehler wird in PanGPS.log angezeigt.
10:36:29:097 Debug(7351): ----Portal Pre-login starts----
/snip/
10:36:29:334 Info ( 647): Server is trusted xxxxxxxx.gpcloudservice.com(xxxxxxxx.gpcloudservice.com)
10:36:29:336 Debug(1038): Received challenge NSURLAuthenticationMethodClientCertificate, queue [NSOperationQueue 0x102d26210 (QOS: USER_INITIATED)]
10:36:29:338 Debug( 742): credentialWithIdentity chain count 0
10:36:29:338 Info ( 792): Using preset identity
10:36:29:339 Info ( 895): Final identity: [xxxxxxxx.com]
10:36:29:340 Debug( 510): Unable to extract extended key usage from cert <cert(0x102a52210) s: xxxxxxxx.com i: xxxxxxxx.com>  
10:36:29:340 Error( 340): Identity <SecIdentityRef: 0x102a11db0> usage mismatch 
    KeyCertSign
)
10:36:29:340 Info ( 904): Final identity cannot be used, cancel
10:36:29:343 Error( 537): Connection error Error Domain=NSURLErrorDomain Code=-999 "Canceled" UserInfo={NSErrorFailingURLStringKey=https://xxxxxxxx.gpcloudservice.com:443/global-protect/prelogin.esp, NSLocalizedDescription=Canceled, NSErrorFailingURLKey=https://xxxxxxxx.gpcloudservice.com:443/global-protect/prelogin.esp}
/snip/
P 707-T3843  01/30/2023 10:36:29:355 Debug( 421): m_errorDetails is Client cert usage check failed.  
P 707-T3843  01/30/2023 10:36:29:355 Debug(7515): prelogin to portal result is 
(null)
P 707-T3843  01/30/2023 10:36:29:355 Debug(7839): Failed to pre-login to the portal xxxxxxxx.gpcloudservice.com with return value 0(0).

Environment


  • GlobalProtect (GP) App
  • Version 6.0.5 oder höher
  • iOS- Gerät

Cause


  • Die Schlüsselverwendungsprüfung für ein Client Zertifikat wurde in GP 6.0.5 hinzugefügt.
  • Das Client Zertifikat sollte über eine „erweiterte Schlüsselverwendung“ mit „Client-Authentifizierung“ (OID 1.3.6.1.5.5.7.3.2) verfügen.

Resolution


  1. Konfigurieren Sie das Client Zertifikat mit „erweiterter Schlüsselverwendung“ ,
  2. Nach der Konfiguration sollte die Konnektivität einwandfrei funktionieren.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kH48CAE&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language