HA の Panorama によって管理される HA のファイアウォールの 4 月 7 日以降の Panorama 証明書の有効期限を軽減する方法

HA の Panorama によって管理される HA のファイアウォールの 4 月 7 日以降の Panorama 証明書の有効期限を軽減する方法

10949
Created On 03/28/24 00:21 AM - Last Modified 05/07/24 14:03 PM


Objective


この記事では、HA の Panorama によって管理される HA ファイアウォールについて、4 月 7 日以降の Panorama 証明書の有効期限を軽減するための手順を順を追って説明します。

Environment


  • 高可用性のパノラマ
  • 高可用性のNGFWファイアウォール。
  • PAN-OS 9.1 以降

Procedure


  • ファイアウォールが両方の Panorama HA ピアに接続されていることを確認します。
  • これを確認するには、以下のファイアウォールCLIから次のコマンドを実行します。
admin@PA-VM(active)> show panorama-status 

Panorama Server 1 : 10.124.158.175
    Connected     : yes
    HA state      : Active
Panorama Server 2 : 10.124.158.160
    Connected     : yes
    HA state      : Passive
  • 新しいコンテンツがすでにインストールされ、パノラマ HA ペアに更新されている場合は、 手順 5 に進みます。
  1. [ Panorama > Dynamic Updates] の [Primary-Active Panorama] の最新コンテンツをダウンロードします。 ダウンロード中に [sync to HA] を選択した場合、このアクションにより、セカンダリ パッシブ パノラマのコンテンツもダウンロードされます。
コンテンツのダウンロード
  1. [ Panorama > Dynamic Updates] の [Primary-Active Panorama] にコンテンツをインストールします。 インストール中に [sync to HA] を選択すると、セカンダリ パッシブ パノラマにもインストールされます。
アクティブなパノラマのコンテンツ更新
  1. 両方の Panorama HA ピアで、[ Panorama > High Availability ] に移動し、両方のピアからプリエンプティブ選択設定を無効にします。 これにより、Primary-Active が再起動されたときに、Primary-Active として返されなくなります。
選挙の設定
  1. Reboot Primary-Active Panorama
  2. Secondary-Active Panorama で、 Panorama > Device Deployment > Dynamic Updates に移動し、最新のコンテンツをダウンロードします。
  3. Secondary-Active Panorama で、 Panorama > Device Deployment > Dynamic Updates に移動します。 インストールするコンテンツを選択します。 HA内のFWを含むすべての管理対象FWがここに一覧表示されます。 HA ファイアウォールは、下部にある [Group HA Peers] から選択できます。 両方の HA ピア(アクティブとパッシブ)は、コンテンツのインストール時に明示的に選択する必要があります。 インストールが終了すると、次のメッセージが表示されます。
ジョブ・ステータス
  1. パッシブファイアウォールをセカンダリアクティブパノラマから再起動します。
  2. プライマリ-アクティブ パノラマがプライマリ-パッシブとしてオンラインに戻ったら、証明書がシステムログで更新されているかどうかをCLIで検証します
admin@panorama-ha1(primary-active)> show log system direction equal backward | match "Panorama"
00:05:32 info     general        general 0  MGMTPANHA1      Panorama certificate for Managing NGFW and log collectors has been successfully extended until 19-Nov-2033
  1. すべての管理対象パッシブ ファイアウォールがオンラインに戻ると、すべてのパッシブ ファイアウォールの証明書が更新されます。 証明書を検証するには、以下のCLIコマンドを使用します。
admin@PA-VM> show log system direction equal backward receive_time in last-15-minutes | match "Panorama"
01:39:14 info     general        general 0  Panorama certificate for Managing NGFW and log collectors has been successfully extended until 19-Nov-2033.
  • また、パッシブ ファイアウォールとプライマリ パッシブ パノラマ間の接続が確立されていることを検証します。
  • 注: ファイアウォールが Panorama への接続を確立しない場合は、ローカルで調査する必要があります。
  1. セカンダリ アクティブ パノラマからアクティブなファイアウォールを再起動します。 アクティブなファイアウォールを再起動すると、パッシブ ファイアウォールがアクティブなファイアウォールを引き継ぎます。
  2. アクティブファイアウォールがオンラインに戻ると、すべてのアクティブなファイアウォールの証明書が更新され、証明書がシステムログを介して更新されたかどうかをCLIで検証します。
  • また、アクティブ ファイアウォールとプライマリ/パッシブ パノラマ間の接続が確立された状態にあり、ファイアウォールの HA ペアが同期していることも検証してください。
  • 注: ファイアウォールがパノラマに接続しない場合は、ローカルで調査する必要があります。
  1. セカンダリ アクティブ Panorama を再起動します。
  2. Secondary-Passive Panorama がオンラインに戻ったら、システム ログで証明書を検証します。
admin@panorama-ha2(secondary-passive)> show log system direction equal backward | match "Panorama"
00:43:30 info     general        general 0  MGMTPANHA2      Panorama certificate for Managing NGFW and log collectors has been successfully extended until 19-Nov-2033.
  1. セカンダリパッシブとすべての管理対象ファイアウォール間の接続を確認します。 それらは「確立された」状態である必要があります。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004OaCCAU&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language