Cómo mitigar la caducidad de los certificados de Panorama después del 7 de abril para los firewalls que no son de alta disponibilidad administrados por HA Panorama

• Panorama en alta disponibilidad
• Cortafuegos que no son de alta disponibilidad.
• PAN-OS 9.1 o superior

• Confirme que el firewall está conectado a ambos pares de alta disponibilidad de Panorama. Para verificar esto, ejecute el siguiente comando desde la CLI del firewall a continuación:

admin@PA-VM(active)> show panorama-status 

Panorama Server 1 : 10.124.158.175
    Connected     : yes
    HA state      : Active
Panorama Server 2 : 10.124.158.160
    Connected     : yes
    HA state      : Passive

• Si el nuevo contenido ya está instalado y actualizado en el par de alta disponibilidad panorámico, vaya directamente al paso 5.

1. Descargue el contenido más reciente sobre el panorama principal-activo en Panorama > actualizaciones dinámicas. Si se elige "sincronizar con alta disponibilidad" durante la descarga, esta acción también descargará el contenido en la pasiva secundaria.

2. Instale el contenido en el Panorama principal-activo en Panorama > Actualizaciones dinámicas. Si selecciona 'sincronizar con HA' durante la instalación, también se instalará en el Panorama Secundario-Pasivo.

3. En ambos pares de alta disponibilidad de Panorama, vaya a Panorama > alta disponibilidad y deshabilite la configuración de elección preferente de ambos. Esto garantizaría que cuando se reinicie Primary-Active, no se devuelva como Primary-Active.

4. Reinicie el panorama principal-activo.
5. En Panorama secundario-activo, vaya a Panorama > Implementación de dispositivos > actualizaciones dinámicas y descargue el contenido más reciente.
6. En Panorama secundario-activo, vaya a Panorama > Implementación de dispositivos > actualizaciones dinámicas e instale el contenido más reciente seleccionando los firewalls administrados.

7. Una vez que el contenido se haya instalado correctamente en todos los firewalls que no sean de alta disponibilidad, reinicie los firewalls desde el panorama secundario-activo a través de la CLI:

admin@panorama-ha2(secondary-active)> request batch reboot devices 007099000021287,012001076865
All devices rebooted
007099000021287
PA-VM
Successfully rebooted
012001076865
PA-820
Successfully rebooted
admin@panorama-ha2(secondary-active)>

8. Una vez que el panorama primario-pasivo vuelva a estar en línea, valide que el certificado en el panorama primario-pasivo se actualice a través de la CLI.

admin@panorama-ha1(primary-active)> show log system direction equal backward | match "Panorama"
00:05:32 info     general        general 0  MGMTPANHA1      Panorama certificate for Managing NGFW and log collectors has been successfully extended until 19-Nov-2033

9. Una vez que todos los firewalls vuelvan a estar en línea, valide el certificado en todos los firewalls. Deberían actualizarse ahora.

admin@PA-VM> show log system direction equal backward receive_time in last-15-minutes | match "Panorama"
01:39:14 info     general        general 0  Panorama certificate for Managing NGFW and log collectors has been successfully extended until 19-Nov-2033.

10. Compruebe las conexiones entre Panorama primario-pasivo y todos los firewalls para asegurarse de que se ha establecido el estado de conexión.

11. Ahora proceda a reiniciar el Panorama Secundario-Activo.
12. Una vez que el panorama secundario-pasivo vuelva a estar en línea, asegúrese de que los certificados se actualicen con el comando CLI que se muestra a continuación.

admin@panorama-ha2(secondary-passive)> show log system direction equal backward | match "Panorama"
00:43:30 info     general        general 0  MGMTPANHA2      Panorama certificate for Managing NGFW and log collectors has been successfully extended until 19-Nov-2033.

13. Compruebe las conexiones entre Panorama secundario-pasivo y todos los cortafuegos para asegurarse de que se ha establecido el estado de conexión.