如何缓解 4 月 7 日后由 HA 中的 Panorama 管理的防火墙的 Panorama 证书过期问题

如何缓解 4 月 7 日后由 HA 中的 Panorama 管理的防火墙的 Panorama 证书过期问题

10997
Created On 03/28/24 00:21 AM - Last Modified 05/07/24 13:57 PM


Objective


本文提供了缓解 4 月 7 日之后 Panorama 证书过期的分步过程,适用于 HA 中 Panorama 管理的 HA 防火墙。

Environment


  • 高可用性全景
  • 高可用性的 NGFW 防火墙。
  • PAN-OS 9.1 或更高版本

Procedure


  • 确认防火墙已连接到两个 Panorama HA 对等体。
  • 要验证这一点,请从下面的防火墙 CLI 执行以下命令:
admin@PA-VM(active)> show panorama-status 

Panorama Server 1 : 10.124.158.175
    Connected     : yes
    HA state      : Active
Panorama Server 2 : 10.124.158.160
    Connected     : yes
    HA state      : Passive
  • 如果已在全景 HA 对上安装并更新了新内容,请直接转到 步骤 5。
  1. 在“ 全景动态更新”下下载有关“主活动全景”>最新内容。 如果在下载过程中选择了“同步到 HA”,则此操作还将下载辅助-被动全景图上的内容。
内容下载
  1. 将内容安装在 “全景动态更新”下的“主活动全景”>“上。 如果在安装过程中选择“同步到 HA”,它也将安装在辅助-被动全景图上。
活动全景图的内容更新
  1. 在两个 Panorama HA 对等方上,转到 Panorama > High Availability ,然后禁用这两个对等方的抢占式选举设置。 这将确保在重新启动 Primary-Active 时,它不会返回为 Primary-Active。
选举设置
  1. 重新启动主活动全景
  2. 在辅助活动全景图上,转到全景 >设备部署>动态更新,然后下载最新内容。
  3. 在辅助活动全景菜单上,转到全景 >设备部署>动态更新。 选择要安装的内容。 所有托管固件(包括 HA 中的固件)都将在此处列出。 HA 防火墙可以通过底部的“HA 对等方组”进行选择。 在安装内容时,需要显式选择 HA 对等体(主动和被动)。 安装完成后,将看到以下消息。
工作状态
  1. 从辅助主动全景中重新启动被动防火墙。
  2. 主活动全景图作为主被动全景重新联机后,通过 CLI 验证证书是否已通过系统日志更新
admin@panorama-ha1(primary-active)> show log system direction equal backward | match "Panorama"
00:05:32 info     general        general 0  MGMTPANHA1      Panorama certificate for Managing NGFW and log collectors has been successfully extended until 19-Nov-2033
  1. 一旦所有托管的被动防火墙重新联机,所有被动防火墙上的证书都将更新。 要验证证书,请使用以下 CLI 命令:
admin@PA-VM> show log system direction equal backward receive_time in last-15-minutes | match "Panorama"
01:39:14 info     general        general 0  Panorama certificate for Managing NGFW and log collectors has been successfully extended until 19-Nov-2033.
  • 此外,验证已建立被动防火墙与主被动全景之间的连接。
  • 注意:如果防火墙未建立回 Panorama 的连接,则需要在本地进行调查。
  1. 从辅助活动全景中重新启动活动防火墙。 重新启动主动防火墙后,被动防火墙将接管主动防火墙。
  2. 活动防火墙重新联机后,所有活动防火墙上的证书都会更新,如果证书已通过系统日志更新,则通过 CLI 进行验证。
  • 还要确保验证主动防火墙与主被动全景之间的连接是否处于已建立状态,并且防火墙 HA 对是否同步。
  • 注意:如果防火墙无法连接回 Panorama,则需要在本地进行调查。
  1. 重新启动辅助活动全景图。
  2. 辅助-被动全景重新联机后,在系统日志中验证证书。
admin@panorama-ha2(secondary-passive)> show log system direction equal backward | match "Panorama"
00:43:30 info     general        general 0  MGMTPANHA2      Panorama certificate for Managing NGFW and log collectors has been successfully extended until 19-Nov-2033.
  1. 验证辅助-被动防火墙与所有托管防火墙之间的连接。 它们应该处于“已建立”状态。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004OaCCAU&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language