Cómo mitigar la caducidad del certificado de Panorama después del 7 de abril para el firewall en alta disponibilidad administrado por Panorama en alta disponibilidad

• Panorama en alta disponibilidad
• Firewalls NGFW en alta disponibilidad.
• PAN-OS 9.1 o superior

• Confirme que el firewall está conectado a ambos pares de alta disponibilidad de Panorama.
• Para verificar esto, ejecute el siguiente comando desde la CLI del firewall a continuación:

admin@PA-VM(active)> show panorama-status 

Panorama Server 1 : 10.124.158.175
    Connected     : yes
    HA state      : Active
Panorama Server 2 : 10.124.158.160
    Connected     : yes
    HA state      : Passive

• Si el nuevo contenido ya está instalado y actualizado en el par de alta disponibilidad panorámico, vaya directamente al paso 5.

1. Descargue el contenido más reciente sobre el panorama principal-activo en Panorama > actualizaciones dinámicas. Si se elige "sincronizar con alta disponibilidad" durante la descarga, esta acción también descargará el contenido en el panorama secundario-pasivo.

2. Instale el contenido en el panorama principal-activo en Panorama > actualizaciones dinámicas. Si selecciona 'sincronizar con HA' durante la instalación, también se instalará en el Panorama Secundario-Pasivo.

3. En ambos pares de alta disponibilidad de Panorama, vaya a Panorama > alta disponibilidad y deshabilite la configuración de elección preferente de ambos. Esto garantizaría que cuando se reinicie Primary-Active, no se devuelva como Primary-Active.

4. Reiniciar Panorama principal-activo
5. En Panorama secundario-activo, vaya a Panorama > Implementación de dispositivos > actualizaciones dinámicas y descargue el contenido más reciente.
6. En Panorama secundario-activo, vaya a Panorama > Implementación de dispositivos > actualizaciones dinámicas. Seleccione el contenido que desea instalar. Aquí se enumerarán todos los FW administrados, incluidos los que están en alta disponibilidad. Los cortafuegos de alta disponibilidad se pueden seleccionar a través de "Pares de alta disponibilidad de grupo" disponible en la parte inferior. Ambos pares de alta disponibilidad (activo y pasivo) deben seleccionarse explícitamente al instalar el contenido. Una vez finalizada la instalación, se ve el siguiente mensaje.

7. Reinicie los firewalls pasivos desde Panorama secundario-activo.
8. Una vez que el panorama principal-activo vuelva a estar en línea como primario-pasivo, valide a través de la CLI si el certificado se ha actualizado a través del registro del sistema

admin@panorama-ha1(primary-active)> show log system direction equal backward | match "Panorama"
00:05:32 info     general        general 0  MGMTPANHA1      Panorama certificate for Managing NGFW and log collectors has been successfully extended until 19-Nov-2033

9. Una vez que todos los firewalls pasivos administrados vuelvan a estar en línea, se actualizará el certificado de todos los firewalls pasivos. Para validar el certificado, utilice el siguiente comando de la CLI:

admin@PA-VM> show log system direction equal backward receive_time in last-15-minutes | match "Panorama"
01:39:14 info     general        general 0  Panorama certificate for Managing NGFW and log collectors has been successfully extended until 19-Nov-2033.

• Además, se establece la conexión entre firewalls pasivos y Panorama primario-pasivo.
• Nota: Si los cortafuegos no establecen la conexión de vuelta a Panorama, deben investigarse localmente.

10. Reinicie los firewalls activos desde el Panorama secundario-activo. Al reiniciar los cortafuegos activos, el cortafuegos pasivo se haría cargo del cortafuegos activo.
11. Una vez que los firewalls activos vuelven a estar en línea, se actualiza el certificado en todos los firewalls activos, valide a través de la CLI si el certificado se ha actualizado a través del registro del sistema.

• Asegúrese de validar también que la conexión entre los firewalls activos y el panorama primario-pasivo esté en un estado establecido y que los pares de alta disponibilidad del firewall estén sincronizados.
• Nota: Si los firewalls no se vuelven a conectar al panorama, deben investigarse localmente.

12. Reinicie el Panorama secundario activo.
13. Una vez que el panorama secundario-pasivo vuelva a estar en línea, valide el certificado en el registro del sistema.

admin@panorama-ha2(secondary-passive)> show log system direction equal backward | match "Panorama"
00:43:30 info     general        general 0  MGMTPANHA2      Panorama certificate for Managing NGFW and log collectors has been successfully extended until 19-Nov-2033.

14. Verifique la conexión entre Secondary-Passive y todos los firewalls administrados. Deben estar en estado "establecido".