错误消息:“无法验证终结点 api.paloaltonetworks.com 的服务器证书”
44321
Created On 01/21/22 04:06 AM - Last Modified 02/02/24 06:10 AM
Symptom
> tail follow yes mp-log lcaas_agent.log
.......
251 lcaas_agent ERROR Failed to fetch LCaaS server cert for validation check
252 lcaas_agent ERROR Failed to validate server certificate for endpoint api.paloaltonetworks.com
....Environment
- 帕洛阿尔托防火墙
- PAN-OS 9.1 及更高版本
- 配置为 发送到 Cortex Data Lake (CDL) 的日志
Cause
此问题通常是由于固件无法达到 api.paloaltonetworks.com 或 lic.lc.prod.us.cs.paloaltonetworks.com 引起的。
Resolution
- 验证防火墙与日志记录服务的连接是否正常工作。 请参阅使用日志记录服务对防火墙连接进行故障排除
- 尝试使用以下命令刷新许可证和证书
> request logging-service-forwarding certificate fetch-noproxy pre-shared-key xxxxxxxxxxxx
- 验证 是否允许 CDL 所需的 TCP 端口和 FQDN。
- 在管理接口上运行TCPDUMP以捕获数据包并验证状态。 (默认情况量将通过FW MGT接口)。
> tcpdump snaplen 0 filter "tcp port (3978 or 80 or 443 or 444) or udp port 53"
- 如果 URL 被任何中间设备阻止,请确保允许该 URL。 在上面的示例中,“lic.lc.prod.us.paloaltonetworks.com”已被阻止。
- 如需任何进一步的帮助,请向 支持 部门提交案例。