Warum GlobalProtect können neue Stammzertifikate CA nicht in den Windows-Gerätezertifikatspeicher importiert werden?

Warum GlobalProtect können neue Stammzertifikate CA nicht in den Windows-Gerätezertifikatspeicher importiert werden?

21878
Created On 10/22/21 18:27 PM - Last Modified 04/23/24 03:27 AM


Symptom


  • GlobalProtect Die Portalkonfiguration (Network > Portal > Agent > GlobalProtect Trusted Root CA) umfasst GP_CA_CERT Root-Signatur-Portalserverzertifikat CA
  • GP_CA_CERT Root CA ist bereits im Gerätezertifikatspeicher installiert
  • SELF_SIGNED Root CA wurde der Registerkarte des Portal-Agenten hinzugefügt, wobei die Option Im lokalen Stammzertifikatspeicher installieren aktiviert ist
  • Sobald die Überprüfung des Portalserverzertifikats erfolgreich ist, GlobalProtect können Apps SELF_SIGNED Root CA nicht in den Gerätezertifikatspeicher importieren

Bild.png

Environment


  • GlobalProtect App 5.0 &; höher
  • Windows Client

Cause


Im Folgenden finden Sie eine kurze Erklärung, warum es fehlschlägt, wenn Sie einen neuen Stamm CA mit dem :GlobalProtectapp 

  1. Während der Überprüfung GlobalProtect app des Portal-Serverzertifikats wird es zuerst mit dem TCA validiert.cer und wenn diese Überprüfung fehlschlägt, wird es mit dem Gerätezertifikatspeicher validiert
  2. Da das GlobalProtect app Portalserverzertifikat mithilfe des tca.cer (mit dem Root-Signatur-Portalserverzertifikat aus der vorherigen Portalverbindung) validiert wird, wird der Import des Root-Zertifikats auf der GlobalProtect Registerkarte Portal-Agent übersprungen, da es nicht mit dem CA im Gerätezertifikatspeicher vorhandenen Root CA CA überprüft wird

Resolution


  1. Löschen Sie die TCA.cer unter C:\Programme\Palo Alto Networks\GlobalProtect manuell vom Endpunkt, und aktualisieren Sie dann die Portalverbindung
  2. Entfernen Sie GP_CA_CERT Stamm CA von der GlobalProtect Registerkarte Portal-Agent, und aktualisieren Sie dann die Portal-Verbindung zweimal. Dies führt dazu, dass der tca.cer bei der ersten Portalverbindung nur den SELF_SIGNED Root hat, und daher erfolgt die Überprüfung des Portalserverzertifikats mithilfe GP_CA_CERT RootsCA, der im Gerätezertifikatspeicher auf der zweiten Portalverbindung installiert ist, um SELF_SIGNED Root CA zu importieren CA

Additional Information


tca.cer ist die Datei, die während der Portalverbindung erstellt wird und auf die in der Konfiguration des Portal-Agenten verwiesen wird/die CA Stammzertifikate
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oMfQCAU&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language