So erneuern Sie ein internes Zertifikat, das für die Kommunikation zwischen Panorama und verwalteten Firewalls verwendet wird
2421
Created On 06/10/20 12:32 PM - Last Modified 09/10/25 02:46 AM
Objective
Dieser Artikel bietet eine alternative Möglichkeit zum Erneuern der Zertifikate, die in der Kommunikation zwischen und verwendet Panorama firewall werden, die keinen Zugriff auf die Stammshell erfordert.
Environment
Jede Panorama oder die über ein firewall abgelaufenes Server-/Clientzertifikat verfügt. Wenn das Zertifikat abgelaufen ist, wird die Kommunikation zwischen und Panorama firewall wird beendet, und das Gerät wird als getrennt auf Panorama angezeigt.
Procedure
1. Bestätigen Sie, dass das Zertifikat auf Panorama einem der beiden firewall Oder-Zertifikate abgelaufen ist:
admin@Panorama-8.1.14> show panorama-certificates -rw-r--r-- 1 root root 3.2K May 31 2009 server.pem admin@FW-8.1.14-Active(active)> show panorama-certificates -rw-r--r-- 1 root root 3.2K Nov 22 2019 client.pem In this situation we can see that the server certificate on Panorama was generated in 2009
2. Stellen Sie sicher, dass das Datum/die Uhrzeit des Geräts korrekt ist.
3. Ändern Sie die IP Verwaltungsadresse des Geräts mit dem abgelaufenen Zertifikat, und übertragen Sie sie, ändern Sie sie dann wieder und übertragen Sie sie erneut. Beachten Sie, dass der Zugriff auf das Gerät verloren geht, wenn die IP Zwischenadresse nicht über das Netzwerk erreichbar ist und physischer Zugriff erforderlich ist, um die IP Adresse wieder auf den ursprünglichen Wert zurückherzustellen.
4. A Ein Neustart des Geräts kann erforderlich sein, um den Prozess zu abschließen.
5. Stellen Sie sicher, dass ein neues Zertifikat mit den gleichen Befehlen wie in Schritt 1 generiert wurde.
Additional Information
Das Zertifikat enthält die Adresse des Geräts IP im Feld "Gemeinsamer Name " CN (), wodurch bei jeder Änderung der Adresse ein neues Zertifikat mit der neuen Adresse im Feld generiert IP CN IP wird.
Das Zertifikat in diesem Beispiel zeigt, dass es im Jahr 2009 generiert wurde, aber es wurde tatsächlich im Jahr 2019 generiert. Das Zertifikat nimmt das konfigurierte Datum/Uhrzeit des Geräts als Startgültigkeitsdatum und ist für 10 Jahre gültig, so dass aufgrund einer Fehlkonfiguration des Datums/der Uhrzeit (2009 statt 2019) das Zertifikat mit falschen Gültigkeitszeiträumen generiert wurde.