在 iOS 设备中升级到 GP 6.0.5 或更高版本后，GlobalProtect 客户端因客户端证书错误而无法连接

• GlobalProtect (GP) 客户端在 iOS设备中从 6.0.4 升级至 6.0.5。
• 升级后，由于客户端证书错误，GP 客户端无法连接到门户/网关。
• PanGPS.log中显示错误

10:36:29:097 Debug(7351): ----Portal Pre-login starts----
/snip/
10:36:29:334 Info ( 647): Server is trusted xxxxxxxx.gpcloudservice.com(xxxxxxxx.gpcloudservice.com)
10:36:29:336 Debug(1038): Received challenge NSURLAuthenticationMethodClientCertificate, queue [NSOperationQueue 0x102d26210 (QOS: USER_INITIATED)]
10:36:29:338 Debug( 742): credentialWithIdentity chain count 0
10:36:29:338 Info ( 792): Using preset identity
10:36:29:339 Info ( 895): Final identity: [xxxxxxxx.com]
10:36:29:340 Debug( 510): Unable to extract extended key usage from cert <cert(0x102a52210) s: xxxxxxxx.com i: xxxxxxxx.com>  
10:36:29:340 Error( 340): Identity <SecIdentityRef: 0x102a11db0> usage mismatch 
    KeyCertSign
)
10:36:29:340 Info ( 904): Final identity cannot be used, cancel
10:36:29:343 Error( 537): Connection error Error Domain=NSURLErrorDomain Code=-999 "Canceled" UserInfo={NSErrorFailingURLStringKey=https://xxxxxxxx.gpcloudservice.com:443/global-protect/prelogin.esp, NSLocalizedDescription=Canceled, NSErrorFailingURLKey=https://xxxxxxxx.gpcloudservice.com:443/global-protect/prelogin.esp}
/snip/
P 707-T3843  01/30/2023 10:36:29:355 Debug( 421): m_errorDetails is Client cert usage check failed.  
P 707-T3843  01/30/2023 10:36:29:355 Debug(7515): prelogin to portal result is 
(null)
P 707-T3843  01/30/2023 10:36:29:355 Debug(7839): Failed to pre-login to the portal xxxxxxxx.gpcloudservice.com with return value 0(0).

• GlobalProtect (GP) 应用程序
• 版本 6.0.5 或更高版本
• iOS设备

• 客户端证书的密钥使用情况检查已添加到 GP 6.0.5 中。
• 客户端证书应具有带有“客户端身份验证”的“扩展密钥用法”（OID 1.3.6.1.5.5.7.3.2）

1. 配置具有“扩展密钥用法”的客户端证书，
2. 配置后，连接应该可以正常工作。