为什么GlobalProtect导入新根失败CA证书到 Windows 设备证书存储？

• GlobalProtect 门户配置（网络 >GlobalProtect门户 > 代理 > 可信根CA)包括GP_CA_CERT根CA签署门户服务器证书
• GP_CA_CERT根CA已安装在设备证书存储中
• 自签名根CA已添加到门户代理选项卡在本地根证书存储中安装选中选项
• 一旦门户服务器证书验证成功，GlobalProtect应用导入失败自签名根CA进入设备证书库

• GlobalProtect App 5.0及以上
• Windows客户端

下面简要解释一下为什么当你想添加一个新的 Root 时它会失败CA使用GlobalProtectapp:

1. 在门户服务器证书验证过程中，GlobalProtectapp首先用tcacer如果此验证失败，则它会使用设备证书存储进行验证
2. 自从GlobalProtectapp使用tcacer （含根CA从以前的门户连接签署门户服务器证书），它会跳过根目录的导入CA中的证书GlobalProtect门户代理选项卡，因为它未使用 Root 进行验证CA存在于设备证书存储中

1. 删除tcacer在下面C:\程序文件\帕洛阿尔托网络\GlobalProtect从端点手动，然后刷新门户连接
2. 消除GP_CA_CERT根CA来自GlobalProtect门户代理选项卡，然后刷新门户连接两次。 这将导致tcacer只有自签名根CA在第一个 Portal 连接上，因此，Portal 服务器证书验证将使用GP_CA_CERT根CA安装在要导入的第二个 Portal 连接上的设备证书库中自签名根 CA

tcacer是在门户网站连接期间创建的文件，具有根目录CA门户代理配置中引用的证书