如何更新用于与 Panorama 管理防火墙之间通信的内部证书

如何更新用于与 Panorama 管理防火墙之间通信的内部证书

2417
Created On 06/10/20 12:32 PM - Last Modified 09/10/25 02:46 AM


Objective


本文旨在提供更新之间通信中使用的证书的替代方法 Panorama firewall ,并且不需要访问根壳。

Environment


任何 Panorama 或 firewall 有过期服务器/客户端证书。 如果证书已过期,则之间的通信 Panorama firewall 将停止,设备将显示为断开 Panorama 连接。

Procedure


1. 确认证书的任一 Panorama 或 firewall 已过期:
admin@Panorama-8.1.14> show panorama-certificates 
-rw-r--r-- 1 root root 3.2K May 31  2009 server.pem

admin@FW-8.1.14-Active(active)> show panorama-certificates 
-rw-r--r-- 1 root root 3.2K Nov 22  2019 client.pem

In this situation we can see that the server certificate on Panorama was generated in 2009

2. 确保设备的日期/时间正确。
3. IP使用过期证书更改设备的管理地址并提交,然后将其更改回并再次提交。 请记住,如果 IP 中间地址无法通过网络访问,则设备的访问权限将丢失,并且需要物理访问才能将 IP 地址恢复到其原始值。
4. A 可能需要重新启动设备才能完成该过程。
5. 使用与第 1 步相同的命令生成新证书。

Additional Information


该证书 IP 包含设备在通用名称 CN () 字段中的地址,从而 IP 在 CN 地址更改时与字段中的新地址一起生成新证书 IP 。
此示例中的证书显示它生成于 2009 年,但实际生成于 2019 年。 该证书将设备的配置日期/时间作为启动有效日期,有效期为 10 年,因此由于日期/时间(2009 年而不是 2019 年)配置错误,该证书的生成有效期不正确。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g0000008UNjCAM&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language