※この記事は以下の記事の日本語訳です。
GlobalProtect Gateway Certificate Error When Trying to Use GlobalProtect Agent 2.1.0
https://live.paloaltonetworks.com/t5/Management-Articles/GlobalProtect-Gateway-Certificate-Error-Whe...
問題
Palo Alto Networks ファイアウォールに GlobalProtect Agent のバージョン 2.1.0 で接続するときに、ポータルへの接続には成功するものの、ゲートウェイへの接続を行う際に証明書エラーが発生します。以前の Agent バージョンを使用した場合は問題なく接続されます。
原因
この問題は GlobalProtect バージョン2.1.0で追加された新規のチェックが原因となります。新規の検証チェックは GlobalProtect ポータルで構成されたゲートウェイ アドレスと証明書の CN (コモンネーム) が一致することを確認します。このチェックは以前のバージョンでは実装されていなかったため、この問題は発生しませんでした。
注: ゲートウェイ アドレスを FQDN で構成し、証明書にこの FQDN が登録されているとき、 PTR レコードが DNS に生成されるまで GlobalProtect Agent のバージョン 2.1.0 には証明書エラーが発生します。
解決方法
- どの証明書プロファイルをゲートウェイの設定で使用しているか確認します。
- Device > 証明書の管理 > 証明書 に移動し、手順1で確認した証明書プロファイルの CN をメモします。
- GlobalProtect ポータルのクライアント設定にて、ゲートウェイのアドレスを手順2でメモした CN へ変更します。
- 変更を Commit し、 Agent でファイアウォールに再接続してください。
注意:
ゲートウェイ証明書の Subject Alternative Name (SAN) 属性にホスト名 (DNS Name) が含まれている場合、上記の記事に示されているように証明書のコモンネームと一致している必要があります。
重要!この設定変更を行う前に、ファイアウォール上で使用されているDNSサーバが "GlobalProtect Portal" のホスト ネームをパブリック IP アドレスへ解決できること、また IP アドレスをホスト ネームに解決するための PTR レコードがあることを確認してください。ホスト ネームが内部 IP アドレスに解決される場合、外部インターフェイスからポータルにアクセスできなくなります。
