So verringern Sie den Ablauf von Panorama-Zertifikaten nach dem 7. April für Nicht-HA-Firewalls, die von HA Panorama verwaltet werden

• Panorama in Hochverfügbarkeit
• Nicht-HA-Firewalls.
• PAN-OS 9.1 oder höher

• Vergewissern Sie sich, dass die Firewall mit beiden Panorama HA-Peers verbunden ist. Um dies zu überprüfen, führen Sie den folgenden Befehl über die Firewall-CLI unten aus:

admin@PA-VM(active)> show panorama-status 

Panorama Server 1 : 10.124.158.175
    Connected     : yes
    HA state      : Active
Panorama Server 2 : 10.124.158.160
    Connected     : yes
    HA state      : Passive

• Wenn der neue Inhalt bereits auf dem Panorama-HA-Paar installiert und aktualisiert wurde, fahren Sie direkt mit Schritt 5 fort.

1. Laden Sie die neuesten Inhalte des primär-aktiven Panoramas unter Panorama > Dynamische Updates herunter. Wenn während des Downloads "Mit HA synchronisieren" ausgewählt wird, wird mit dieser Aktion auch der Inhalt auf dem Sekundär-Passiven heruntergeladen.

2. Installieren Sie den Inhalt im primär-aktiven Panorama unter Panorama > Dynamische Updates. Wenn Sie während der Installation "Mit HA synchronisieren" auswählen, wird es auch auf dem sekundär-passiven Panorama installiert.

3. Wechseln Sie auf beiden Panorama HA-Peers zu Panorama > High Availability , und deaktivieren Sie die Einstellungen für die präventive Wahl auf beiden Peers. Dadurch wird sichergestellt, dass beim Neustart von Primary-Active nicht als Primary-Active zurückgegeben wird.

4. Starten Sie das primär-aktive Panorama neu.
5. Wechseln Sie unter "Sekundäres aktives Panorama" zu Panorama > "Gerätebereitstellung" > "Dynamische Updates", und laden Sie die neuesten Inhalte herunter.
6. Wechseln Sie unter "Sekundär-aktives Panorama" zu Panorama > "Gerätebereitstellung" > "Dynamische Updates", und installieren Sie die neuesten Inhalte, indem Sie die verwalteten Firewalls auswählen.

7. Nachdem der Inhalt erfolgreich auf allen Nicht-HA-Firewalls installiert wurde, starten Sie die Firewalls über das sekundär-aktive Panorama über die CLI neu :

admin@panorama-ha2(secondary-active)> request batch reboot devices 007099000021287,012001076865
All devices rebooted
007099000021287
PA-VM
Successfully rebooted
012001076865
PA-820
Successfully rebooted
admin@panorama-ha2(secondary-active)>

8. Sobald das primär-passive Panorama wieder online ist, überprüfen Sie, ob das Zertifikat für das primär-passive Panorama über die CLI aktualisiert wurde.

admin@panorama-ha1(primary-active)> show log system direction equal backward | match "Panorama"
00:05:32 info     general        general 0  MGMTPANHA1      Panorama certificate for Managing NGFW and log collectors has been successfully extended until 19-Nov-2033

9. Sobald alle Firewalls wieder online sind, überprüfen Sie das Zertifikat auf allen Firewalls. Sie sollten jetzt aktualisiert werden.

admin@PA-VM> show log system direction equal backward receive_time in last-15-minutes | match "Panorama"
01:39:14 info     general        general 0  Panorama certificate for Managing NGFW and log collectors has been successfully extended until 19-Nov-2033.

10. Überprüfen Sie die Verbindungen zwischen dem primären und passiven Panorama und allen Firewalls, um sicherzustellen, dass der Verbindungsstatus hergestellt ist.

11. Fahren Sie nun fort, um das sekundär-aktive Panorama neu zu starten.
12. Sobald das sekundär-passive Panorama wieder online ist, stellen Sie sicher, dass die Zertifikate mit dem folgenden CLI-Befehl aktualisiert werden.

admin@panorama-ha2(secondary-passive)> show log system direction equal backward | match "Panorama"
00:43:30 info     general        general 0  MGMTPANHA2      Panorama certificate for Managing NGFW and log collectors has been successfully extended until 19-Nov-2033.

13. Überprüfen Sie die Verbindungen zwischen dem sekundär-passiven Panorama und allen Firewalls, um sicherzustellen, dass der Verbindungsstatus hergestellt ist.