クエリ エラーOCSP証明書失効ステータスのチェックが失敗するため、"responder"Panorama "

クエリ エラーOCSP証明書失効ステータスのチェックが失敗するため、"responder"Panorama "

49302
Created On 09/25/18 15:19 PM - Last Modified 01/18/23 20:46 PM


Symptom


Panorama 雲を表示していたlogging serviceサービス ログに接続できず、ログの表示が突然停止します。OCSP証明書失効チェックを完了します。

診断

  • 以下の mp-log lcaas_agent.log

2018-08-27 15:16:47,108 lcaas_agent INFO Server-cert revocation check status: unavailable
これは、Panorama証明書失効チェックを完了できませんでした。
 
2018-08-27 15:16:47,279 lcaas_agent INFO Resp from cloud service : [{"query":"8ad748e7-edbb-413a-b2c8-89c36750a859.api2-lc-prod-us.gpcloudservice.com:444","CustomerID":"117789002","region":"americas","region-display":"americas","ingest":"8ad748e7-edbb-413a-b2c8-89c36750a859.in2-lc-prod-us.gpcloudservice.com"}]
上記の「クラウド サービスからの応答」は、サービスが応答していることを必ずしも意味しないことに注意することが重要です。Panorama .
「request plugins cloud_services logging-service status」は出力を返さず、「CTRL +C "
 
  • 少ない mp-log plugin_cloud_services.log
2018-08-27 16:27:36.712 -0500 INFO: [update-device-cert] OCSP/CRL check status:
('unavailable', 'Output to be sent to /tmp/ocspoutput_911171761.data.\nOCSP URL from the certificate http://ocsp.paloaltonetworks.com/ocsp.\nOCSP cert status check is hosted atocsp.paloaltonetworks.com.\nTrying connection to Host ocsp.paloaltonetworks.com for checking cert status.\nError querying OCSP responsder\n

2018-08-27 16:27:36.712 -0500 ERROR: [update-device-cert] No cert/key found. Probably trusted channel is not setup. Cannot continue.

plugin_cloud_services.log から確認できます。Panoramaからの応答を取得できませんでしたocsp.paloaltonetworks.comどこOCSP証明書ステータス チェックは、エッジのセキュリティ ルールによりホストされますfirewallこの宛先へのアクセスをブロックしています。

どうでしたかPanorama表示を停止する前に、クラウド サービスからのログを正常に表示できましたか?
その理由は、logging-service のオンボーディング時に、ユーザーが境界で「すべての」宛先ルールを許可するように構成した可能性があるためです。firewallその後、細かなアクセスを許可するようにルールを変更しましたLogging Serviceリージョンのみに基づく FQDN (USまたEU) からPanorama以下のソリューションにリストされている他の宛先をスキップするソースとして:-

 

Resolution


Panorama 初期設定とワンタイム パスワード、および進行中の証明書失効チェックのために、これらの FQDN にアクセスする必要があります。


ノート:
にとってOCSP、ファイアウォールも許可する必要がありますポート 80 で ocsp.paloaltonetworks.com にアクセスするには


セキュリティを開くpolicyにLogging service上記を追加するにはFQDNS「宛先アドレス」およびサービスとして (444、443、80)

これらは次のドキュメントにも記載されており、セキュリティ ポリシーを微調整する前にアクセスを許可する必要があります。PanoramaへのアクセスLogging Service(インターネットバウンド)。Cortexデータレイク入門、TCPに必要なポートと FQDNCortexデータレイク

ルールを正常に構成した後、Panoramaログのレンダリングを開始する必要があり、接続を確認できますlogging service使用:

> request plugins cloud_services logging-service status

pass

{"@status": "success", "result": {"PODamericas": {"name": "americas", "Status": {"type": "status", "value": "OK", "tooltip": "OK"}, "@num_instances": 1, "Storage Us
ed (TB)": {"type": "number", "value": "0.516887", "limit": 1}, "Estimated Log Retention (Days)": 132, "entry": [{"name": "Americas", "Status": {"type": "status", "v
alue": "OK", "tooltip": "OK"}, "infra-audit-utilization": {"header": ["Infrastructure and Audit Logs", "Utilization"], "type": "number", "value": 1.94, "limit": 20.
48, "unit": "GB"}, "infra-audit-retention": {"header": ["Infrastructure and Audit Logs", "Retention"], "type": "number", "value": 151, "unit": "Days"}, "detail-util
ization": {"header": ["Detailed Logs", "Utilization"], "type": "number", "value": 509.06, "limit": 819.2, "unit": "GB"}, "detail-retention": {"header": ["Detailed L
ogs", "Retention"], "type": "number", "value": 132, "unit": "Days"}, "summary-utilization": {"header": ["Summary Logs", "Utilization"], "type": "number", "value": 1
8.29, "limit": 184.32, "unit": "GB"}, "summary-retention": {"header": ["Summary Logs", "Retention"], "type": "number", "value": 141, "unit": "Days"}, "@quota_info":
 {"quota_details": "{\"log-disk-quota\":{\"detailed\":80,\"infra-audit\":2,\"summary\":18},\"log-expiration-period\":{\"detailed\":395,\"infra-audit\":395,\"summary
\":395},\"min-retention-warning-period\":{\"detailed\":14,\"infra-audit\":14,\"summary\":14},\"@name\":\"americas\",\"theater-quota\":{\"quota_count\":1}}", "quota_
count": 1}}]}}}
 
次の証明書失効ステータスを参照してください。 lcaas_agent.log
2018-08-27 15:25:47,108 lcaas_agent INFO Server-cert revocation check status: good


失効ステータスがまだ「使用不可」と表示されている場合は、削除して再取得しますPanorama-使用する証明書OTP.

Additional Information


で証明書を削除して再取得する方法については、Panorama 、 見てくださいのSSL証明書エラー」の原因Panoramalogging-service からのログを表示しないようにするには」
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClDiCAK&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language