OCSPFehlerabfrage-Responder" als Zertifikatsperrstatusprüfungen fehlschlagen auf Panorama "

OCSPFehlerabfrage-Responder" als Zertifikatsperrstatusprüfungen fehlschlagen auf Panorama "

49300
Created On 09/25/18 15:19 PM - Last Modified 01/18/23 20:45 PM


Symptom


Panorama die Clouddienstprotokolle angezeigt und logging service dann plötzlich aufhört, die Protokolle anzuzeigen, weil sie nicht mehr mit der in Verbindung treten können, um die OCSP Zertifikatsperrprüfungen abzuschließen.
 

Diagnose

  • weniger MP-Log lcaas_agent. log

2018-08-27 15:16:47,108 lcaas_agent INFO Server-cert revocation check status: unavailable
Dies weist darauf hin, dass Panorama die Zertifikatsperrprüfungen nicht abgeschlossen werden konnten.
 
2018-08-27 15:16:47,279 lcaas_agent INFO Resp from cloud service : [{"query":"8ad748e7-edbb-413a-b2c8-89c36750a859.api2-lc-prod-us.gpcloudservice.com:444","CustomerID":"117789002","region":"americas","region-display":"americas","ingest":"8ad748e7-edbb-413a-b2c8-89c36750a859.in2-lc-prod-us.gpcloudservice.com"}]
Es ist wichtig zu beachten, dass das obige "Resp from cloud service" nicht notwendigerweise bedeutet, dass der Dienst auf Panorama reagiert.
"Request Plugins cloud_services logging-service status" gibt keine Ausgabe zurück und bleibt stecken, bis Sie die Aufgabe mit " CTRL + C "
 
  • weniger MP-Log plugin_cloud_services. log
2018-08-27 16:27:36.712 -0500 INFO: [update-device-cert] OCSP/CRL check status:
('unavailable', 'Output to be sent to /tmp/ocspoutput_911171761.data.\nOCSP URL from the certificate http://ocsp.paloaltonetworks.com/ocsp.\nOCSP cert status check is hosted atocsp.paloaltonetworks.com.\nTrying connection to Host ocsp.paloaltonetworks.com for checking cert status.\nError querying OCSP responsder\n

2018-08-27 16:27:36.712 -0500 ERROR: [update-device-cert] No cert/key found. Probably trusted channel is not setup. Cannot continue.

Sie können aus dem plugin_cloud_services.log sehen, das Panorama aufgrund einer Sicherheitsregel am Rand, die den Zugriff auf dieses Ziel blockiert, keine Antwort von ocsp.paloaltonetworks.com erhalten konnte, in dem die OCSP Zertifizierungsstatusprüfung gehostet firewall wird.

Wie Panorama konnten die Protokolle des Clouddienstes erfolgreich angezeigt
werden, bevor sie nicht mehr angezeigt wurden? Der Grund dafür ist, dass der Benutzer zum Zeitpunkt des Onboarding-Protokollierungsdienstes möglicherweise "jede" Zielregel für den Umkreis zugelassen und die Regel später so geändert hat, firewall dass der granulare Zugriff auf Logging Service FQDNs nur basierend auf der Region( oder ) als Quelle möglich ist, die US die anderen in der folgenden Lösung aufgeführten Ziele EU Panorama überspringt:-

 

Resolution


Panorama muss auf diese FQDNs für die Ersteinrichtung und das einmalige Kennwort sowie für laufende Zertifikatsperrprüfungen zugreifen.


Hinweis:
Für OCSP müssen Sie den Firewalls auch den Zugriff auf ocsp.paloaltonetworks.com an Port 80 gestatten.


Öffnen Sie die policy Sicherheit, Logging service um die oben genannten FQDNS als "Zieladressen" und Dienste hinzuzufügen(444, 443, 80)

Diese sind auch im folgenden Dokument aufgeführt und sollten vor der Feinabstimmung der Sicherheitsrichtlinien für den Zugriff auf Panorama Logging Service (internetgebunden) zugänglich sein. Cortex Data Lake Erste Schritte, TCP Ports und FQDNs Erforderlich für Cortex Data Lake

Nach dem erfolgreichen Konfigurieren der Regel sollten Sie mit dem Rendern von Panorama Protokollen beginnen, und Sie können die Konnektivität zur logging service Verwendung überprüfen:

> request plugins cloud_services logging-service status

pass

{"@status": "success", "result": {"PODamericas": {"name": "americas", "Status": {"type": "status", "value": "OK", "tooltip": "OK"}, "@num_instances": 1, "Storage Us
ed (TB)": {"type": "number", "value": "0.516887", "limit": 1}, "Estimated Log Retention (Days)": 132, "entry": [{"name": "Americas", "Status": {"type": "status", "v
alue": "OK", "tooltip": "OK"}, "infra-audit-utilization": {"header": ["Infrastructure and Audit Logs", "Utilization"], "type": "number", "value": 1.94, "limit": 20.
48, "unit": "GB"}, "infra-audit-retention": {"header": ["Infrastructure and Audit Logs", "Retention"], "type": "number", "value": 151, "unit": "Days"}, "detail-util
ization": {"header": ["Detailed Logs", "Utilization"], "type": "number", "value": 509.06, "limit": 819.2, "unit": "GB"}, "detail-retention": {"header": ["Detailed L
ogs", "Retention"], "type": "number", "value": 132, "unit": "Days"}, "summary-utilization": {"header": ["Summary Logs", "Utilization"], "type": "number", "value": 1
8.29, "limit": 184.32, "unit": "GB"}, "summary-retention": {"header": ["Summary Logs", "Retention"], "type": "number", "value": 141, "unit": "Days"}, "@quota_info":
 {"quota_details": "{\"log-disk-quota\":{\"detailed\":80,\"infra-audit\":2,\"summary\":18},\"log-expiration-period\":{\"detailed\":395,\"infra-audit\":395,\"summary
\":395},\"min-retention-warning-period\":{\"detailed\":14,\"infra-audit\":14,\"summary\":14},\"@name\":\"americas\",\"theater-quota\":{\"quota_count\":1}}", "quota_
count": 1}}]}}}
 
Sehen Sie den Zertifikatsperrstatus wie folgt in lcaas_agent.log
2018-08-27 15:25:47,108 lcaas_agent INFO Server-cert revocation check status: good


Wenn der Sperrstatus weiterhin "nicht verfügbar" anzeigt, löschen Sie das Panorama -zertifikat mit OTP .

Additional Information


Hilfe zum Löschen und erneuten Abrufen von Zertifikaten auf Panorama finden Sie unter Der SSL Zertifikatsfehler", der dazu führt, dass Panorama keine Protokolle aus dem Protokollierungsdienst angezeigt werden."
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClDiCAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language