GlobalProtect Agent 2.1.0 を使用する際に発生する GlobalProtect ゲートウェイ証明書のエラーについて

告知

ATTENTION Customers, All Partners and Employees: The Customer Support Portal (CSP) will be undergoing maintenance and unavailable on Saturday, November 7, 2020, from 11 am to 11 pm PST. Please read our blog for more information.

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

GlobalProtect Gateway Certificate Error When Trying to Use GlobalProtect Agent 2.1.0
https://live.paloaltonetworks.com/t5/Management-Articles/GlobalProtect-Gateway-Certificate-Error-Whe...

 

問題

Palo Alto Networks ファイアウォールに GlobalProtect Agent のバージョン 2.1.0 で接続するときに、ポータルへの接続には成功するものの、ゲートウェイへの接続を行う際に証明書エラーが発生します。以前の Agent バージョンを使用した場合は問題なく接続されます。

 

原因

この問題は GlobalProtect バージョン2.1.0で追加された新規のチェックが原因となります。新規の検証チェックは GlobalProtect ポータルで構成されたゲートウェイ アドレスと証明書の CN (コモンネーム) が一致することを確認します。このチェックは以前のバージョンでは実装されていなかったため、この問題は発生しませんでした。

注: ゲートウェイ アドレスを FQDN で構成し、証明書にこの FQDN が登録されているとき、 PTR レコードが DNS に生成されるまで GlobalProtect Agent のバージョン 2.1.0 には証明書エラーが発生します。

 

解決方法

  1. どの証明書プロファイルをゲートウェイの設定で使用しているか確認します。 Screen Shot 2016-04-13 at 5.42.21 pm.png
  2. Device > 証明書の管理 > 証明書 に移動し、手順1で確認した証明書プロファイルの CN をメモします。
    Screen Shot 2016-04-13 at 5.41.27 pm.png
  3. GlobalProtect ポータルのクライアント設定にて、ゲートウェイのアドレスを手順2でメモした CN へ変更します。
    Screen Shot 2016-04-13 at 5.43.25 pm.png
  4. 変更を Commit し、 Agent でファイアウォールに再接続してください。

 

注意:

ゲートウェイ証明書の Subject Alternative Name (SAN) 属性にホスト名 (DNS Name) が含まれている場合、上記の記事に示されているように証明書のコモンネームと一致している必要があります。

 

重要!この設定変更を行う前に、ファイアウォール上で使用されているDNSサーバが "GlobalProtect Portal" のホスト ネームをパブリック IP アドレスへ解決できること、また IP アドレスをホスト ネームに解決するための PTR レコードがあることを確認してください。ホスト ネームが内部 IP アドレスに解決される場合、外部インターフェイスからポータルにアクセスできなくなります。