GlobalProtectの接続に失敗する際のエラー "required client certificate is not found" について

告知

ATTENTION Customers, All Partners and Employees: The Customer Support Portal (CSP) will be undergoing maintenance and unavailable on Saturday, November 7, 2020, from 11 am to 11 pm PST. Please read our blog for more information.

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
GlobalProtect failed to connect - required client certificate is not found
https://live.paloaltonetworks.com/t5/Management-Articles/GlobalProtect-failed-to-connect-required-cl...

問題

2要素認証を使用するように認証プロファイルと証明書プロファイルをGlobalProtect ポータルとゲートウェイで構成しましたが、クライアント コンピューターでGlobalProtectに接続しようとした際に、GlobalProtect クライアントのステータス ページに以下のエラーメッセージが表示されます:

"Required Client Certificate is not found"

 

また、PanGP サービス ログでは以下のエラー メッセージが表示されます:

Debug(3624): Failed to pre-login to the portal XX.XX.XX.XX. Error 0

Debug(1594): close WinHttp close handle.

Debug(3588): prelogin status is Error

Error(3591): pre-login error message: Valid client certificate is required

Debug(1594): close WinHttp close handle.

Debug(4213): portal status is Client Cert Required.

Debug(3697): Portal required client certificate is not found.

 

解決方法

これらのエラーはクライアント コンピュータに正しい/有効な証明書がないため発生します。

クライアント マシンにインポートされた証明書はGlobalProtect ポータル及びゲートウェイで設定されたサーバ証明書と一致する必要があります。
自己署名証明書の場合は、"個人"及び"信頼されたルート証明機関"の両方にインポートする必要があります。
クライアント コンピュータに証明書をインポートする方法については、ここをクリックして"step 2"を参照してください。

 

次の手順に従い、P12形式の証明書をクライアント コンピュータ(Windows マシン)にインポートします:

 

  1. スタートをクリックし、mmcを実行します。
  2. ファイル > スナップインの追加と削除をクリックします。
  3. スナップインから"証明書"を選択し、追加をクリック、コンピューター アカウントを選択し完了をクリックします。
  4. OKをクリックしスナップインの追加と削除を閉じます。
  5. "個人"と"信頼された証明機関"に証明書をインポートします。