GlobalProtect Agent 2.1.0 を使用する際に発生する GlobalProtect ゲートウェイ証明書のエラーについて

※この記事は以下の記事の日本語訳です。

GlobalProtect Gateway Certificate Error When Trying to Use GlobalProtect Agent 2.1.0
https://live.paloaltonetworks.com/t5/Management-Articles/GlobalProtect-Gateway-Certificate-Error-Whe...

問題

Palo Alto Networks ファイアウォールに GlobalProtect Agent のバージョン 2.1.0 で接続するときに、ポータルへの接続には成功するものの、ゲートウェイへの接続を行う際に証明書エラーが発生します。以前の Agent バージョンを使用した場合は問題なく接続されます。

原因

この問題は GlobalProtect バージョン2.1.0で追加された新規のチェックが原因となります。新規の検証チェックは GlobalProtect ポータルで構成されたゲートウェイ アドレスと証明書の CN (コモンネーム) が一致することを確認します。このチェックは以前のバージョンでは実装されていなかったため、この問題は発生しませんでした。

注： ゲートウェイ アドレスを FQDN で構成し、証明書にこの FQDN が登録されているとき、 PTR レコードが DNS に生成されるまで GlobalProtect Agent のバージョン 2.1.0 には証明書エラーが発生します。

解決方法

1. どの証明書プロファイルをゲートウェイの設定で使用しているか確認します。
2. Device > 証明書の管理 > 証明書 に移動し、手順1で確認した証明書プロファイルの CN をメモします。
   
3. GlobalProtect ポータルのクライアント設定にて、ゲートウェイのアドレスを手順2でメモした CN へ変更します。
   
4. 変更を Commit し、 Agent でファイアウォールに再接続してください。

注意:

ゲートウェイ証明書の Subject Alternative Name (SAN) 属性にホスト名 (DNS Name) が含まれている場合、上記の記事に示されているように証明書のコモンネームと一致している必要があります。

重要！この設定変更を行う前に、ファイアウォール上で使用されているDNSサーバが "GlobalProtect Portal" のホスト ネームをパブリック IP アドレスへ解決できること、また IP アドレスをホスト ネームに解決するための PTR レコードがあることを確認してください。ホスト ネームが内部 IP アドレスに解決される場合、外部インターフェイスからポータルにアクセスできなくなります。