Comment atténuer l’expiration du certificat Panorama après le 7 avril pour les pare-feu non-HA gérés par HA Panorama

• Panorama en haute disponibilité
• Pare-feu non-HA.
• PAN-OS 9.1 ou version ultérieure

• Vérifiez que le pare-feu est connecté aux deux homologues Panorama HA. Pour le vérifier, exécutez la commande suivante à partir de l’interface de ligne de commande du pare-feu ci-dessous :

admin@PA-VM(active)> show panorama-status 

Panorama Server 1 : 10.124.158.175
    Connected     : yes
    HA state      : Active
Panorama Server 2 : 10.124.158.160
    Connected     : yes
    HA state      : Passive

• Si le nouveau contenu est déjà installé et mis à jour sur la paire HA panoramique, passez directement à l’étape 5.

1. Téléchargez le contenu le plus récent sur le panorama actif principal sous Panorama > mises à jour dynamiques. Si l'option « Synchroniser avec HA » est sélectionnée pendant le téléchargement, cette action téléchargera également le contenu sur le passif secondaire.

2. Installez le contenu sur le panorama principal-actif sous Panorama > Mises à jour dynamiques. Si vous sélectionnez « Synchroniser avec HA » lors de l'installation, il sera également installé sur le panorama secondaire-passif.

3. Sur les deux homologues Panorama HA, accédez à Panorama > Haute disponibilité et désactivez les paramètres d’élection préemptive des deux. Cela permet de s’assurer que lorsque Primary-Active est redémarré, il ne retourne pas en tant que Primary-Active.

4. Redémarrez le panorama principal-actif.
5. Sur Panorama secondaire-actif, accédez à Panorama > Déploiement de périphérique > mises à jour dynamiques, puis téléchargez le contenu le plus récent.
6. Sur Panorama secondaire-actif, accédez à Panorama > Déploiement de périphériques > mises à jour dynamiques, puis installez le contenu le plus récent en sélectionnant les pare-feu gérés.

7. Une fois le contenu installé avec succès sur tous les pare-feu non-HA, redémarrez les pare-feu à partir du panorama secondaire actif via l’interface de ligne de commande :

admin@panorama-ha2(secondary-active)> request batch reboot devices 007099000021287,012001076865
All devices rebooted
007099000021287
PA-VM
Successfully rebooted
012001076865
PA-820
Successfully rebooted
admin@panorama-ha2(secondary-active)>

8. Une fois que le panorama primaire-passif est de nouveau en ligne, vérifiez que le certificat sur le panorama principal-passif est mis à jour via l’interface de ligne de commande.

admin@panorama-ha1(primary-active)> show log system direction equal backward | match "Panorama"
00:05:32 info     general        general 0  MGMTPANHA1      Panorama certificate for Managing NGFW and log collectors has been successfully extended until 19-Nov-2033

9. Une fois que tous les pare-feu sont de nouveau en ligne, validez le certificat sur tous les pare-feu. Ils devraient être mis à jour maintenant.

admin@PA-VM> show log system direction equal backward receive_time in last-15-minutes | match "Panorama"
01:39:14 info     general        general 0  Panorama certificate for Managing NGFW and log collectors has been successfully extended until 19-Nov-2033.

10. Vérifiez les connexions entre Panorama passif principal et tous les pare-feu pour vous assurer que l’état de connexion est établi.

11. Procédez maintenant au redémarrage du panorama secondaire-actif.
12. Une fois que le panorama secondaire-passif est de nouveau en ligne, assurez-vous que les certificats sont mis à jour à l’aide de la commande CLI ci-dessous.

admin@panorama-ha2(secondary-passive)> show log system direction equal backward | match "Panorama"
00:43:30 info     general        general 0  MGMTPANHA2      Panorama certificate for Managing NGFW and log collectors has been successfully extended until 19-Nov-2033.

13. Vérifiez les connexions entre Panorama passif secondaire et tous les pare-feu pour vous assurer que l’état de connexion est établi.