¿Por qué GlobalProtect no se pueden importar nuevos certificados raíz CA en el almacén de certificados de dispositivos Windows?

¿Por qué GlobalProtect no se pueden importar nuevos certificados raíz CA en el almacén de certificados de dispositivos Windows?

23241
Created On 10/22/21 18:27 PM - Last Modified 04/23/24 03:27 AM


Symptom


  • GlobalProtect La configuración del portal (Network > Portal > Agent > GlobalProtect Trusted RootCA) incluye GP_CA_CERT certificado de servidor del portal de firma raíz CA
  • GP_CA_CERT Root CA ya está instalado en el almacén de certificados del dispositivo
  • SELF_SIGNED Se ha agregado root CA a la pestaña del agente del portal con la opción Instalar en el almacén de certificados raíz local activada
  • Una vez que la verificación del certificado del servidor del portal se realiza correctamente, GlobalProtect las aplicaciones no pueden importar SELF_SIGNED raíz CA en el almacén de certificados del dispositivo

Image.png

Environment


  • GlobalProtect App 5.0 y superior
  • Cliente de Windows

Cause


A continuación se muestra una breve explicación de por qué falla cuando desea agregar una nueva raíz CA utilizando el GlobalProtect app:

  1. Durante la verificación del certificado del servidor del portal, lo valida primero con el tca.cer y si se produce un error en esta verificación, GlobalProtect app se valida con el almacén de certificados del dispositivo
  2. Dado que valida GlobalProtect app el certificado del servidor del portal mediante el tca.cer (que contiene el certificado del servidor del portal de firma raíz de la conexión del portal anterior), omite la importación del certificado raíz en la ficha Agente del portal, ya que no se verifica mediante la GlobalProtect raíz CA CA presente en el almacén de CA certificados del dispositivo

Resolution


  1. Elimine el tca.cer en C:\Archivos de programa\Palo Alto Networks\GlobalProtect manualmente desde el extremo y, a continuación, actualice la conexión del portal
  2. Quite GP_CA_CERT raíz de la ficha Agente CA del portal y, a continuación, actualice la GlobalProtect conexión del portal dos veces. Esto hará que el tca.cer tenga solo la raíz SELF_SIGNED en la primera conexión del portal y, por lo tanto, la verificación del certificado del servidor del portal se realizará utilizando GP_CA_CERT raíz instalada en el almacén de certificados del dispositivo en la segunda conexión del portal para importar SELF_SIGNED raíz CA CA CA

Additional Information


tca.cer es el archivo creado durante la conexión del portal y tiene los certificados raíz CA a los que se hace referencia en la configuración del agente del portal
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oMfQCAU&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language