Cómo renovar un certificado interno utilizado para la comunicación entre Panorama firewalls administrados y entre dispositivos de comunicación
2413
Created On 06/10/20 12:32 PM - Last Modified 09/10/25 02:46 AM
Objective
Este artículo está diseñado para proporcionar una forma alternativa de renovar los certificados utilizados en la comunicación entre Panorama y , que no requiere acceso al shell firewall raíz.
Environment
Cualquiera Panorama o firewall aquello tiene un certificado de servidor/cliente caducado. Si el certificado ha caducado, la comunicación entre Panorama y firewall se detendrá, y el dispositivo se mostrará como desconectado en Panorama .
Procedure
1. Confirme que el certificado en cualquiera de los dos Panorama o firewall ha caducado:
admin@Panorama-8.1.14> show panorama-certificates -rw-r--r-- 1 root root 3.2K May 31 2009 server.pem admin@FW-8.1.14-Active(active)> show panorama-certificates -rw-r--r-- 1 root root 3.2K Nov 22 2019 client.pem In this situation we can see that the server certificate on Panorama was generated in 2009
2. Asegúrese de que la fecha/hora del dispositivo sea correcta.
3. Cambie la dirección de administración IP del dispositivo con el certificado caducado y confirme, vuelva a cambiarlo y vuelva a confirmarlo. Tenga en cuenta que el acceso al dispositivo se perderá si la dirección intermedia IP no es accesible a través de la red y se requerirá acceso físico para restaurar la dirección de IP nuevo a su valor original.
4. A El reinicio del dispositivo puede ser necesario para finalizar el proceso.
5. Verifique que se haya generado un nuevo certificado con los mismos comandos que en el paso 1.
Additional Information
El certificado contiene la dirección del dispositivo IP en el campo Nombre común ( ), lo que hace que se genere un nuevo certificado con la CN nueva dirección en el campo cada vez que cambia la IP CN IP dirección.
El certificado de este ejemplo muestra que se generó en 2009, pero en realidad se generó en 2019. El certificado toma la fecha/hora configurada del dispositivo como fecha de validez inicial y es válido durante 10 años, por lo que debido a una configuración incorrecta de la fecha/hora (2009 en lugar de 2019) el certificado se generó con intervalos de tiempo de validez incorrectos.