Pourquoi échoue-t-on GlobalProtect à importer les nouveaux certificats racine dans le magasin de certificats d’appareil CA Windows ?

• GlobalProtect La configuration du portail (Network > Portal > Agent > GlobalProtect Trusted RootCA) inclut GP_CA_CERT certificat de serveur de portail de signature racine CA
• GP_CA_CERT La racine CA est déjà installée dans le magasin de certificats de l’appareil
• SELF_SIGNED La racine CA a été ajoutée à l’onglet de l’agent du portail avec l’option Installer dans le magasin de certificats racine local cochée
• Une fois la vérification du certificat du serveur de portail réussie, GlobalProtect les applications ne parviennent pas à importer SELF_SIGNED racine CA dans le magasin de certificats de l’appareil

• GlobalProtect App 5.0 et versions ultérieures
• Client Windows

Vous trouverez ci-dessous une brève explication sur les raisons pour lesquelles il échoue lorsque vous souhaitez ajouter une nouvelle racine CA à l’aide de la GlobalProtect app:

1. Lors de la vérification du certificat du serveur de portail, le valide d’abord avec l’autorité de certification.cer et si cette vérification échoue, GlobalProtect app elle est validée avec le magasin de certificats de périphérique
2. Étant donné que le valide le certificat du serveur de portail à l’aide de l’autorité tc.cer a (contenant le certificat de serveur de portail de signature racine de la connexion au portail précédente), il ignore l’importation du certificat racine dans l’onglet Agent du portail car il n’est GlobalProtect pas vérifié à l’aide de la racine CA CA CA présente dans le GlobalProtect app magasin de certificats de périphérique

1. Supprimez manuellement le tca.cer sous C:\Program Files\Palo Alto Networks\GlobalProtect à partir du point de terminaison, puis actualisez la connexion au portail
2. Supprimez GP_CA_CERT racine CA de l’onglet GlobalProtect Agent du portail, puis actualisez la connexion au portail deux fois. Ainsi, la racine de l'.cer tca n’aura que la racine SELF_SIGNED lors de la première connexion au portail et, par conséquent, la vérification du certificat du serveur de portail se fera à l’aide de GP_CA_CERT racine installée dans le magasin de certificats de l’appareil sur la deuxième connexion au portail pour importer SELF_SIGNED racine CA CA CA

tca.cer est le fichier créé lors de la connexion au portail et dont le ou les certificats racines CA sont référencés dans la configuration de l’agent de portail.