Comment atténuer l’expiration du certificat Panorama après le 7 avril pour le pare-feu en haute disponibilité géré par Panorama en haute disponibilité

• Panorama en haute disponibilité
• Pare-feu NGFW en haute disponibilité.
• PAN-OS 9.1 ou version ultérieure

• Vérifiez que le pare-feu est connecté aux deux homologues Panorama HA.
• Pour le vérifier, exécutez la commande suivante à partir de l’interface de ligne de commande du pare-feu ci-dessous :

admin@PA-VM(active)> show panorama-status 

Panorama Server 1 : 10.124.158.175
    Connected     : yes
    HA state      : Active
Panorama Server 2 : 10.124.158.160
    Connected     : yes
    HA state      : Passive

• Si le nouveau contenu est déjà installé et mis à jour sur la paire HA panoramique, passez directement à l’étape 5.

1. Téléchargez le contenu le plus récent sur le panorama actif principal sous Panorama > mises à jour dynamiques. Si l'option « Synchroniser avec la haute disponibilité » est sélectionnée pendant le téléchargement, cette action téléchargera également le contenu du panorama secondaire-passif.

2. Installez le contenu sur le panorama principal-actif sous Panorama > Mises à jour dynamiques. Si vous sélectionnez « Synchroniser avec HA » lors de l'installation, il sera également installé sur le panorama secondaire-passif.

3. Sur les deux homologues Panorama HA, accédez à Panorama > Haute disponibilité et désactivez les paramètres d’élection préemptive des deux. Cela permet de s’assurer que lorsque Primary-Active est redémarré, il ne retourne pas en tant que Primary-Active.

4. Redémarrer le panorama principal-actif
5. Sur Panorama secondaire-actif, accédez à Panorama > Déploiement de périphérique > mises à jour dynamiques, puis téléchargez le contenu le plus récent.
6. Sur Panorama secondaire-actif, accédez à Panorama > Déploiement de périphériques > mises à jour dynamiques. Sélectionnez le contenu à installer. Tous les FW gérés, y compris ceux qui se trouvent en haute disponibilité, seront répertoriés ici. Les pare-feu HA peuvent être sélectionnés via « Group HA Peers » disponible en bas. Les deux homologues HA (actifs et passifs) doivent être explicitement sélectionnés lors de l’installation du contenu. Une fois l’installation terminée, le message suivant s’affiche.

7. Redémarrez les pare-feu passifs à partir de Panorama secondaire-actif.
8. Une fois que le panorama actif principal est de nouveau en ligne en tant que module passif principal, validez via l’interface de ligne de commande si le certificat a été mis à jour via le journal système

admin@panorama-ha1(primary-active)> show log system direction equal backward | match "Panorama"
00:05:32 info     general        general 0  MGMTPANHA1      Panorama certificate for Managing NGFW and log collectors has been successfully extended until 19-Nov-2033

9. Une fois que tous les pare-feu passifs gérés seront de nouveau en ligne, le certificat de tous les pare-feu passifs sera mis à jour. Pour valider le certificat, utilisez la commande CLI ci-dessous :

admin@PA-VM> show log system direction equal backward receive_time in last-15-minutes | match "Panorama"
01:39:14 info     general        general 0  Panorama certificate for Managing NGFW and log collectors has been successfully extended until 19-Nov-2033.

• Validez également que la connexion entre les pare-feu passifs et le panorama principal-passif est établie.
• Remarque : Si les pare-feu n’établissent pas la connexion à Panorama, ils doivent être examinés localement.

10. Redémarrez les pare-feu actifs à partir du panorama secondaire. Lors du redémarrage des pare-feu actifs, le pare-feu passif prend le relais du pare-feu actif.
11. Une fois que les pare-feu actifs sont de nouveau en ligne, le certificat de tous les pare-feu actifs est mis à jour, validez via l’interface de ligne de commande si le certificat a été mis à jour via le journal système.

• Assurez-vous également de vérifier que la connexion entre les pare-feu actifs et le panorama principal-passif est dans un état établi et que les paires de haute disponibilité du pare-feu sont synchronisées.
• Remarque : Si les pare-feu ne se reconnectent pas au Panorama, ils doivent être examinés localement.

12. Redémarrez le panorama secondaire actif.
13. Une fois que le panorama secondaire-passif est de nouveau en ligne, validez le certificat dans le journal système.

admin@panorama-ha2(secondary-passive)> show log system direction equal backward | match "Panorama"
00:43:30 info     general        general 0  MGMTPANHA2      Panorama certificate for Managing NGFW and log collectors has been successfully extended until 19-Nov-2033.

14. Vérifiez la connexion entre le pare-feu secondaire-passif et tous les pare-feu gérés. Ils doivent être dans un état « établi ».