Message d'erreur : « Échec de la validation du certificat de serveur pour le point de terminaison api.paloaltonetworks.com »
44486
Created On 01/21/22 04:06 AM - Last Modified 02/02/24 06:09 AM
Symptom
- Pare-feu configuré pour envoyer des journaux à Cortex Data Lake.
- Les journaux ne sont pas envoyés à CDL
- Affichage du journal de l’agent LCASS « Certificat de serveur pour le point de terminaison api.paloaltonetworks.com »
> tail follow yes mp-log lcaas_agent.log
.......
251 lcaas_agent ERROR Failed to fetch LCaaS server cert for validation check
252 lcaas_agent ERROR Failed to validate server certificate for endpoint api.paloaltonetworks.com
....Environment
- Pare-feu Palo Alto
- PAN-OS 9.1 et versions ultérieures
- Journaux configurés pour être envoyés à Cortex Data Lake (CDL)
Cause
Ce problème est normalement dû au fait que le micrologiciel ne parvient pas à atteindre api.paloaltonetworks.com ou lic.lc.prod.us.cs.paloaltonetworks.com.
Resolution
- Vérifiez que la connectivité du pare-feu au service de journalisation fonctionne correctement. Reportez-vous à la section Dépannage de la connectivité du pare-feu avec le service de journalisation
- Essayez d’actualiser la licence et le certificat à l’aide de la commande
> request logging-service-forwarding certificate fetch-noproxy pre-shared-key xxxxxxxxxxxx
- Vérifiez que les ports TCP et les noms de domaine complets requis pour CDL sont autorisés.
- Exécutez TCPDUMP sur l’interface de gestion pour capturer les paquets et vérifier leur état. (par défaut, le trafic passera par l’interface MGT du micrologiciel).
> tcpdump snaplen 0 filter "tcp port (3978 or 80 or 443 or 444) or udp port 53"
- Si les URL sont bloquées par un périphérique intermédiaire, assurez-vous que l’URL est autorisée. Dans l’exemple ci-dessus, « lic.lc.prod.us.paloaltonetworks.com » a été bloqué.
- Pour obtenir de l’aide, ouvrez un dossier auprès de l’assistance .