Comment renouveler un certificat interne utilisé pour la communication entre les Panorama pare-feu gérés et entre eux
2429
Created On 06/10/20 12:32 PM - Last Modified 09/10/25 02:46 AM
Objective
Cet article est conçu pour fournir un autre moyen de renouveler les certificats utilisés dans la communication entre Panorama et , ce qui ne nécessite pas firewall l’accès à la coquille racine.
Environment
Tout Panorama ou partie a un serveur expiré / certificat firewall client. Si le certificat a expiré, alors la communication entre et Panorama firewall s’arrêtera, et l’appareil s’affichera comme déconnecté sur Panorama .
Procedure
1. Confirmer que le certificat sur l’un Panorama ou firewall l’autre ou a expiré:
admin@Panorama-8.1.14> show panorama-certificates -rw-r--r-- 1 root root 3.2K May 31 2009 server.pem admin@FW-8.1.14-Active(active)> show panorama-certificates -rw-r--r-- 1 root root 3.2K Nov 22 2019 client.pem In this situation we can see that the server certificate on Panorama was generated in 2009
2. Assurez-vous que la date/heure de l’appareil est correcte.
3. Modifiez IP l’adresse de gestion de l’appareil avec le certificat expiré et engagez-le, puis modifiez-le et engagez-le à nouveau. Gardez à l’esprit que l’accès à l’appareil sera perdu si IP l’adresse intermédiaire n’est pas accessible sur le réseau, et l’accès physique sera nécessaire pour restaurer IP l’adresse à sa valeur d’origine.
4. A le redémarrage de l’appareil peut être nécessaire pour finaliser le processus.
5. Vérifiez qu’un nouveau certificat a été généré avec les mêmes commandes qu’à l’étape 1.
Additional Information
Le certificat contient l’adresse de IP l’appareil dans le champ Nom commun () qui provoque la génération CN d’un nouveau certificat avec la nouvelle IP adresse sur le terrain chaque fois que CN IP l’adresse change.
Le certificat dans cet exemple montre qu’il a été généré en 2009, mais qu’il a été effectivement généré en 2019. Le certificat prend la date/heure configurée de l’appareil comme date de validité de départ et est valide pendant 10 ans, donc en raison d’une mauvaise configuration de la date/heure (2009 au lieu de 2019) le certificat a été généré avec des plages de validité incorrectes.