なぜGlobalProtect新しいルートのインポートに失敗するCA証明書を Windows デバイス証明書ストアに追加しますか?

• GlobalProtect ポータル構成 (ネットワーク >GlobalProtectポータル > エージェント > 信頼されたルートCA)含まれていますGP_CA_CERT根CAポータルサーバー証明書への署名
• GP_CA_CERT根CAデバイス証明書ストアにすでにインストールされています
• 自己署名済み根CAポータル エージェント タブに追加されましたローカルのルート証明書ストアにインストールするチェックされたオプション
• ポータル サーバー証明書の検証が成功すると、GlobalProtectアプリのインポートに失敗する自己署名済み根CAデバイス証明書ストアに

• GlobalProtect App 5.0以上
• Windowsクライアント

以下は、新しいルートを追加するときに失敗する理由についての簡単な説明です。CAを使用してGlobalProtectapp:

1. ポータルサーバー証明書の検証中に、GlobalProtectapp最初にそれを検証しますtca.cerこの検証が失敗した場合は、デバイス証明書ストアを使用して検証します。
2. 以来、GlobalProtectappを使用してポータル サーバー証明書を検証します。 tca.cer (ルートを含む)CA以前のポータル接続からのポータル サーバー証明書に署名する)、ルートのインポートをスキップします。CAの証明書GlobalProtectルートを使用して検証されていないため、ポータル エージェント タブCAデバイス証明書ストアに存在する

1. を削除しますtca.cer下C:\プログラム ファイル\パロ アルト ネットワーク\GlobalProtectエンドポイントから手動で接続し、ポータル接続を更新します。
2. 削除GP_CA_CERT根CAからGlobalProtect「ポータル エージェント」タブをクリックし、ポータル接続を 2 回更新します。 これにより、 tca.cerだけを持つこと自己署名済み根CA最初のポータル接続時、したがってポータル サーバー証明書の検証は次を使用して行われます。 GP_CA_CERT根CAインポートする 2 番目のポータル接続のデバイス証明書ストアにインストールされます自己署名済み根 CA

tca.cerポータル接続中に作成されたファイルであり、ルートが含まれています。CAポータルエージェント構成で参照される証明書