So verringern Sie den Ablauf des Panorama-Zertifikats nach dem 7. April für die Firewall in HA, die von Panorama in HA verwaltet wird

• Panorama in Hochverfügbarkeit
• NGFW-Firewalls in Hochverfügbarkeit.
• PAN-OS 9.1 oder höher

• Vergewissern Sie sich, dass die Firewall mit beiden Panorama HA-Peers verbunden ist.
• Um dies zu überprüfen, führen Sie den folgenden Befehl über die Firewall-CLI unten aus:

admin@PA-VM(active)> show panorama-status 

Panorama Server 1 : 10.124.158.175
    Connected     : yes
    HA state      : Active
Panorama Server 2 : 10.124.158.160
    Connected     : yes
    HA state      : Passive

• Wenn der neue Inhalt bereits auf dem Panorama-HA-Paar installiert und aktualisiert wurde, fahren Sie direkt mit Schritt 5 fort.

1. Laden Sie die neuesten Inhalte des primär-aktiven Panoramas unter Panorama > Dynamische Updates herunter. Wenn während des Downloads "Mit HA synchronisieren" ausgewählt wird, wird mit dieser Aktion auch der Inhalt des sekundär-passiven Panoramas heruntergeladen.

2. Installieren Sie den Inhalt im primär-aktiven Panorama unter Panorama > Dynamische Updates. Wenn Sie während der Installation "Mit HA synchronisieren" auswählen, wird es auch auf dem sekundär-passiven Panorama installiert.

3. Wechseln Sie auf beiden Panorama HA-Peers zu Panorama > High Availability , und deaktivieren Sie die Einstellungen für die präventive Wahl auf beiden Peers. Dadurch wird sichergestellt, dass beim Neustart von Primary-Active nicht als Primary-Active zurückgegeben wird.

4. Primär-aktives Panorama neu starten
5. Wechseln Sie unter "Sekundäres aktives Panorama" zu Panorama > "Gerätebereitstellung" > "Dynamische Updates", und laden Sie die neuesten Inhalte herunter.
6. Wechseln Sie unter "Sekundär-aktives Panorama" zu "Panorama > Device Deployment > Dynamic Updates". Wählen Sie den zu installierenden Inhalt aus. Alle verwalteten Firmen, einschließlich derjenigen, die sich in HA befinden, werden hier aufgelistet. Die HA-Firewalls können über die unten verfügbaren "Group HA Peers" ausgewählt werden. Beide HA-Peers (aktiv und passiv) müssen bei der Installation des Inhalts explizit ausgewählt werden. Sobald die Installation abgeschlossen ist, wird die folgende Meldung angezeigt.

7. Starten Sie die passiven Firewalls über das sekundär-aktive Panorama neu.
8. Sobald das primär-aktive Panorama wieder als primär-passiv online ist, überprüfen Sie über die CLI, ob das Zertifikat über das Systemprotokoll aktualisiert wurde

admin@panorama-ha1(primary-active)> show log system direction equal backward | match "Panorama"
00:05:32 info     general        general 0  MGMTPANHA1      Panorama certificate for Managing NGFW and log collectors has been successfully extended until 19-Nov-2033

9. Sobald alle verwalteten passiven Firewalls wieder online sind, wird das Zertifikat auf allen passiven Firewalls aktualisiert. Um das Zertifikat zu validieren, verwenden Sie den folgenden CLI-Befehl:

admin@PA-VM> show log system direction equal backward receive_time in last-15-minutes | match "Panorama"
01:39:14 info     general        general 0  Panorama certificate for Managing NGFW and log collectors has been successfully extended until 19-Nov-2033.

• Außerdem überprüfen Sie, ob die Verbindung zwischen passiven Firewalls und dem primär-passiven Panorama hergestellt ist.
• Hinweis: Wenn die Firewalls die Verbindung zurück zu Panorama nicht herstellen, müssen sie lokal untersucht werden.

10. Starten Sie die aktiven Firewalls über das Sekundär-Aktiv-Panorama neu. Beim Neustart der aktiven Firewalls übernimmt die passive Firewall die aktive Firewall.
11. Sobald die aktiven Firewalls wieder online sind, wird das Zertifikat auf allen aktiven Firewalls aktualisiert, überprüfen Sie über die CLI, ob das Zertifikat über das Systemprotokoll aktualisiert wurde.

• Stellen Sie sicher, dass Sie auch überprüfen, ob sich die Verbindung zwischen den aktiven Firewalls und dem primär-passiven Panorama in einem hergestellten Zustand befindet und die Firewall-HA-Paare synchronisiert sind.
• Hinweis: Wenn die Firewalls keine Verbindung zum Panorama herstellen, müssen sie lokal untersucht werden.

12. Starten Sie das sekundär-aktive Panorama neu.
13. Sobald das sekundär-passive Panorama wieder online ist, überprüfen Sie das Zertifikat im Systemprotokoll.

admin@panorama-ha2(secondary-passive)> show log system direction equal backward | match "Panorama"
00:43:30 info     general        general 0  MGMTPANHA2      Panorama certificate for Managing NGFW and log collectors has been successfully extended until 19-Nov-2033.

14. Überprüfen Sie die Verbindung zwischen sekundär-passiven und allen verwalteten Firewalls. Sie sollten sich im "etablierten" Zustand befinden.