Réponse de requête OCSP d’erreur » pendant que les contrôles de statut de révocation de certificat échouent sur Panorama «

Réponse de requête OCSP d’erreur » pendant que les contrôles de statut de révocation de certificat échouent sur Panorama «

49300
Created On 09/25/18 15:19 PM - Last Modified 01/18/23 20:45 PM


Symptom


Panorama avait affiché les journaux de logging service service cloud, puis cesse soudainement d’afficher les journaux en raison de son incapacité à contacter le pour OCSP compléter les vérifications de révocation du certificat.
 

Diagnostic

  • moins MP-log lcaas_agent. log

2018-08-27 15:16:47,108 lcaas_agent INFO Server-cert revocation check status: unavailable
Cela indique Panorama qu’il n’a pas été en place pour effectuer les vérifications de révocation du certificat.
 
2018-08-27 15:16:47,279 lcaas_agent INFO Resp from cloud service : [{"query":"8ad748e7-edbb-413a-b2c8-89c36750a859.api2-lc-prod-us.gpcloudservice.com:444","CustomerID":"117789002","region":"americas","region-display":"americas","ingest":"8ad748e7-edbb-413a-b2c8-89c36750a859.in2-lc-prod-us.gpcloudservice.com"}]
Il est important de noter que ce qui précède « Resp du service cloud » ne signifie pas nécessairement que le service répond à Panorama .
« demander des plugins cloud_services de service de journalisation » ne retourne aucune sortie et reste bloqué jusqu’à ce que vous tuez la tâche en utilisant " CTRL + C »
 
  • moins MP-log plugin_cloud_services. log
2018-08-27 16:27:36.712 -0500 INFO: [update-device-cert] OCSP/CRL check status:
('unavailable', 'Output to be sent to /tmp/ocspoutput_911171761.data.\nOCSP URL from the certificate http://ocsp.paloaltonetworks.com/ocsp.\nOCSP cert status check is hosted atocsp.paloaltonetworks.com.\nTrying connection to Host ocsp.paloaltonetworks.com for checking cert status.\nError querying OCSP responsder\n

2018-08-27 16:27:36.712 -0500 ERROR: [update-device-cert] No cert/key found. Probably trusted channel is not setup. Cannot continue.

Vous pouvez voir à partir du plugin_cloud_services.log qui Panorama n’a pas pu obtenir une réponse de ocsp.paloaltonetworks.com où OCSP la vérification de l’état cert est hébergé en raison d’une règle de sécurité sur le firewall bord bloquant l’accès à cette destination.

Comment Panorama a-t-il pu afficher les journaux du service cloud avec succès avant qu’il ne cesse de les afficher ?
La raison en est qu’au moment de l’enregistrement du service d’enregistrement, l’utilisateur peut avoir configuré autoriser « n’importe quelle » règle de destination sur le périmètre firewall et plus tard modifié la règle pour permettre un accès granulaire Logging Service aux FQDN uniquement en fonction de la Région ( US ou ) à partir de la source sauter les autres destinations EU Panorama énumérées dans la solution ci-dessous:-

 

Resolution


Panorama doit accéder à ces FQDNs pour la configuration initiale et le mot de passe unique, et pour les vérifications de révocation de certificat en cours.


Remarque:
Pour OCSP , vous devez également permettre aux pare-feu d’accéder ocsp.paloaltonetworks.com sur le port 80


Ouvrez la sécurité pour ajouter ce qui précède en policy Logging service tant FQDNS qu'«adresses de destination » et services (444, 443, 80)

Ceux-ci sont énumérés dans le document suivant ainsi et devraient être autorisés à accéder avant de peaufiner les politiques de sécurité pour Panorama l’accès Logging Service à (internet lié). Cortex Data Lake commence, TCP Ports et FQDNs requis pour Cortex Data Lake Après

avoir configuré avec succès la règle, devez commencer à rendre les journaux et vous pouvez vérifier la connectivité à Panorama logging service l’utilisation:

> request plugins cloud_services logging-service status

pass

{"@status": "success", "result": {"PODamericas": {"name": "americas", "Status": {"type": "status", "value": "OK", "tooltip": "OK"}, "@num_instances": 1, "Storage Us
ed (TB)": {"type": "number", "value": "0.516887", "limit": 1}, "Estimated Log Retention (Days)": 132, "entry": [{"name": "Americas", "Status": {"type": "status", "v
alue": "OK", "tooltip": "OK"}, "infra-audit-utilization": {"header": ["Infrastructure and Audit Logs", "Utilization"], "type": "number", "value": 1.94, "limit": 20.
48, "unit": "GB"}, "infra-audit-retention": {"header": ["Infrastructure and Audit Logs", "Retention"], "type": "number", "value": 151, "unit": "Days"}, "detail-util
ization": {"header": ["Detailed Logs", "Utilization"], "type": "number", "value": 509.06, "limit": 819.2, "unit": "GB"}, "detail-retention": {"header": ["Detailed L
ogs", "Retention"], "type": "number", "value": 132, "unit": "Days"}, "summary-utilization": {"header": ["Summary Logs", "Utilization"], "type": "number", "value": 1
8.29, "limit": 184.32, "unit": "GB"}, "summary-retention": {"header": ["Summary Logs", "Retention"], "type": "number", "value": 141, "unit": "Days"}, "@quota_info":
 {"quota_details": "{\"log-disk-quota\":{\"detailed\":80,\"infra-audit\":2,\"summary\":18},\"log-expiration-period\":{\"detailed\":395,\"infra-audit\":395,\"summary
\":395},\"min-retention-warning-period\":{\"detailed\":14,\"infra-audit\":14,\"summary\":14},\"@name\":\"americas\",\"theater-quota\":{\"quota_count\":1}}", "quota_
count": 1}}]}}}
 
Voir le statut de révocation du certificat comme suit dans lcaas_agent.log
2018-08-27 15:25:47,108 lcaas_agent INFO Server-cert revocation check status: good


Si le statut de révocation s’affiche toujours « indisponible », supprimez et récupérez le Panorama certificat à l’aide OTP .

Additional Information


Pour obtenir de l’aide pour supprimer et récupérer les Panorama certificats, veuillez consulter SSL l’erreur de certificat " qui ne fait pas afficher les journaux Panorama du service de journalisation »
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClDiCAK&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language