2024年5月2日 / 最終更新日時 : 2024年5月2日 テクバン ネットワークソリューション担当 Zscaler

【トラブルシューティング(ZPA)】AppConnectorデプロイ後、証明書エラーが発生

こんにちは。ネットワークソリューション特集 編集部です。
今回は、ZPAでAppConnectorデプロイ後、証明書エラーが発生し、ZPAクラウドとの接続が確立できないという事象の対応方法について紹介します。

AppConnectorのステータス確認

AppConnectorのステータスについては、ZPAと接続が確立できている場合は管理コンソールから確認することもできます。
ZPAとの接続が確立できない場合は、AppConnectorのコンソールから確認する必要があります。

SSHで接続して、AppConnectorコンソールへ管理者でログインします。
以下のコマンドでzpa-connectorのステータスを確認できます。

[admin@zpa-connector ~]$ sudo systemctl status zpa-connector

AppConnectorは、2つのプロセスが動作します。正常な場合は、以下のように表示されます。
active (running)となっており、zpa-connectorとzpa-connector-childの2つのプロセスが確認できます。

sudo systemctl status zpa-connector
● zpa-connector.service - Zscaler Private Access Connector
   Loaded: loaded (/usr/lib/systemd/system/zpa-connector.service; enabled; vendor preset: enabled)
   Active: active (running) since Fri 2024-04-26 08:02:54 UTC; 4 days ago
 Main PID: 8300 (zpa-connector)
   CGroup: /system.slice/zpa-connector.service
           ├─ 8300 /opt/zscaler/bin/zpa-connector
           └─10169 zpa-connector-child

また、AppConnectorのログは以下のコマンドで確認できます。

[admin@zpa-connector ~]$ sudo journalctl -u zpa-connector

古いログについては、/var/log/messagesに保存されます。

zscaler-updateのエラーについて

今回のケースでは、AppConnectorのログに以下のエラーが表示され、ZPAとの接続ができない状況となっておりました。

Apr 24 18:14:24 zpa-connector zpa-connector[8300]: zpa-connector: starting, version 16.61.2
Apr 24 18:14:25 zpa-connector zpa-connector[8300]: zscaler-update: Fetching from dist.private.zscaler.com via co2br.prod.zpath.net
Apr 24 18:14:27 zpa-connector zpa-connector[8300]: zscaler-update: TLS Verification Failure via 165.225.110.253:443: Failed certificate check at depth=1, where subject=/C=US/O=DigiCert Inc/CN=DigiCert TLS RSA SHA256 2020 CA1, issuer=/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert Global Root CA. Error=unable to get local issuer certificate
Apr 24 18:14:27 zpa-connector zpa-connector[8300]: zscaler-update: Could not connect to dist.private.zscaler.com via co2br.prod.zpath.net

TLS Verification Failureの表示から証明書の検証に失敗していることが考えられます。
デプロイしたAppConnectorのバージョンが古く、保存されているCA証明書も古い可能性があり、以下コマンドを入力して、手動でAppConnectorをアップデートします。AppConnectorのアップデートによってCA証明書も更新されます。

[admin@zpa-connector ~]$ sudo yum update zpa-connector

更新が完了したら、以下コマンドでAppConnectorを再起動します。

[admin@zpa-connector ~]$ sudo systemctl restart zpa-connector

まとめ

  • デプロイしたAppConnectorのバージョンが古い場合、証明書エラーでZPAと接続できないことがある
  • AppConnectorのコンソールからyum updateコマンドで手動でAppConnectorのバージョンアップを行なう
  • AppConnectorのバージョンアップで証明書も更新される

今回は、ZPAでAppConnectorデプロイ後に証明書エラーで接続できない事象についてのトラブルシューティングでした。

関連記事:

Zscaler Private Access(ZPA)設定手順 【注意】Cisco製品 ルート証明書変更の影響 Zscaler Internet Access(ZIA)、Zscaler Private Access(ZPA)のクラウドログ保存期間とログ転送方法 Zscaler製品(ZIA、ZPA)のエディション変更(FY24)
カテゴリー
Zscaler
タグ
Cato Networks

前の記事

Cato Networks プロダクトアップデート(2024/4/29)
2024年4月30日
Cato Networks

次の記事

Cato Networks プロダクトアップデート(2024/5/6)
2024年5月7日