Error al consultar OCSP al respondedor" al fallar las comprobaciones de estado de revocación de certificados en Panorama "

Error al consultar OCSP al respondedor" al fallar las comprobaciones de estado de revocación de certificados en Panorama "

49300
Created On 09/25/18 15:19 PM - Last Modified 01/18/23 20:45 PM


Symptom


Panorama había estado mostrando los registros del servicio en la nube logging service y, de repente, deja de mostrar los registros debido a su incapacidad para ponerse en contacto con el OCSP para completar las comprobaciones de revocación del certificado.
 

Diagnóstico

  • menos MP-log lcaas_agent. log

2018-08-27 15:16:47,108 lcaas_agent INFO Server-cert revocation check status: unavailable
Esto indica que Panorama no se pudieron completar las comprobaciones de revocación de certificados.
 
2018-08-27 15:16:47,279 lcaas_agent INFO Resp from cloud service : [{"query":"8ad748e7-edbb-413a-b2c8-89c36750a859.api2-lc-prod-us.gpcloudservice.com:444","CustomerID":"117789002","region":"americas","region-display":"americas","ingest":"8ad748e7-edbb-413a-b2c8-89c36750a859.in2-lc-prod-us.gpcloudservice.com"}]
Es importante tener en cuenta que el anterior "Resp from cloud service" no significa necesariamente que el servicio esté respondiendo a Panorama .
"solicitar plugins cloud_services estado del servicio de registro" no devuelve ninguna salida y permanece atascado hasta que mata la tarea usando " CTRL + C "
 
  • menos MP-log plugin_cloud_services. log
2018-08-27 16:27:36.712 -0500 INFO: [update-device-cert] OCSP/CRL check status:
('unavailable', 'Output to be sent to /tmp/ocspoutput_911171761.data.\nOCSP URL from the certificate http://ocsp.paloaltonetworks.com/ocsp.\nOCSP cert status check is hosted atocsp.paloaltonetworks.com.\nTrying connection to Host ocsp.paloaltonetworks.com for checking cert status.\nError querying OCSP responsder\n

2018-08-27 16:27:36.712 -0500 ERROR: [update-device-cert] No cert/key found. Probably trusted channel is not setup. Cannot continue.

Puede ver desde el plugin_cloud_services.log que Panorama no pudo obtener una respuesta de ocsp.paloaltonetworks.com donde se hospeda la comprobación de estado del certificado debido a una regla de seguridad en el borde que bloquea el acceso a OCSP este firewall destino.

¿Cómo Panorama pudo mostrar los registros del servicio en la nube correctamente antes de que dejara de mostrarlos?
La razón es que en el momento de incorporar el servicio de registro, el usuario podría haber configurado permitir "cualquier" regla de destino en el perímetro firewall y más tarde modificó la regla para permitir el acceso granular a Logging Service FQDNs sólo en función de la región ( US o ) desde como origen EU Panorama omitiendo los otros destinos enumerados en la solución siguiente:-

 

Resolution


Panorama necesita acceder a estos FQDN para la configuración inicial y la contraseña única, y para las comprobaciones de revocación de certificados en curso.


Nota:
Para OCSP , también debe permitir que los firewalls accedan a ocsp.paloaltonetworks.com en el puerto 80


Abra la seguridad policy para agregar lo anterior como Logging service FQDNS "Direcciones de destino" y servicios(444, 443, 80)

Estos también se enumeran en el siguiente documento y se les debe permitir el acceso antes de ajustar las políticas de seguridad para el Panorama acceso a Logging Service (enlazado a Internet). Cortex Data Lake Comenzando, TCP Puertos y FQDNs necesarios para Cortex Data Lake

Después de configurar correctamente la regla, debe comenzar a representar registros y puede comprobar la conectividad al uso Panorama logging service de:

> request plugins cloud_services logging-service status

pass

{"@status": "success", "result": {"PODamericas": {"name": "americas", "Status": {"type": "status", "value": "OK", "tooltip": "OK"}, "@num_instances": 1, "Storage Us
ed (TB)": {"type": "number", "value": "0.516887", "limit": 1}, "Estimated Log Retention (Days)": 132, "entry": [{"name": "Americas", "Status": {"type": "status", "v
alue": "OK", "tooltip": "OK"}, "infra-audit-utilization": {"header": ["Infrastructure and Audit Logs", "Utilization"], "type": "number", "value": 1.94, "limit": 20.
48, "unit": "GB"}, "infra-audit-retention": {"header": ["Infrastructure and Audit Logs", "Retention"], "type": "number", "value": 151, "unit": "Days"}, "detail-util
ization": {"header": ["Detailed Logs", "Utilization"], "type": "number", "value": 509.06, "limit": 819.2, "unit": "GB"}, "detail-retention": {"header": ["Detailed L
ogs", "Retention"], "type": "number", "value": 132, "unit": "Days"}, "summary-utilization": {"header": ["Summary Logs", "Utilization"], "type": "number", "value": 1
8.29, "limit": 184.32, "unit": "GB"}, "summary-retention": {"header": ["Summary Logs", "Retention"], "type": "number", "value": 141, "unit": "Days"}, "@quota_info":
 {"quota_details": "{\"log-disk-quota\":{\"detailed\":80,\"infra-audit\":2,\"summary\":18},\"log-expiration-period\":{\"detailed\":395,\"infra-audit\":395,\"summary
\":395},\"min-retention-warning-period\":{\"detailed\":14,\"infra-audit\":14,\"summary\":14},\"@name\":\"americas\",\"theater-quota\":{\"quota_count\":1}}", "quota_
count": 1}}]}}}
 
Consulte el estado de revocación del certificado como se indica a continuación en lcaas_agent.log
2018-08-27 15:25:47,108 lcaas_agent INFO Server-cert revocation check status: good


Si el estado de revocación sigue siendo "no disponible", elimine y vuelva a capturar el Panorama certificado mediante OTP .

Additional Information


Para obtener ayuda para eliminar y volver a capturar Panorama certificados, consulte El error del SSL certificado" que provoca no mostrar registros Panorama del servicio de registro"
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClDiCAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language