HA Panorama によって管理される非 HA ファイアウォールの 4 月 7 日以降の Panorama 証明書の有効期限を軽減する方法

HA Panorama によって管理される非 HA ファイアウォールの 4 月 7 日以降の Panorama 証明書の有効期限を軽減する方法

9914
Created On 03/28/24 01:04 AM - Last Modified 05/07/24 13:57 PM


Objective


この記事では、高可用性モードで Panorama によって管理される 非 HA ファイアウォール の 4 月 7 日以降の Panorama 証明書の有効期限を軽減するための手順を順を追って説明します。

Environment


  • 高可用性のパノラマ
  • 非 HA ファイアウォール。
  • PAN-OS 9.1 以降

Procedure


  • ファイアウォールが両方の Panorama HA ピアに接続されていることを確認します。 これを確認するには、以下のファイアウォールCLIから次のコマンドを実行します。
admin@PA-VM(active)> show panorama-status 

Panorama Server 1 : 10.124.158.175
    Connected     : yes
    HA state      : Active
Panorama Server 2 : 10.124.158.160
    Connected     : yes
    HA state      : Passive
  • 新しいコンテンツがすでにインストールされ、パノラマ HA ペアに更新されている場合は、 手順 5 に進みます。
  1. [ Panorama > Dynamic Updates] の [Primary-Active Panorama] の最新コンテンツをダウンロードします。 ダウンロード中に [sync to HA] を選択した場合、このアクションにより、セカンダリ パッシブのコンテンツもダウンロードされます。
アプリケーションと脅威のダウンロード
  1. [ Panorama > Dynamic Updates] の [Primary-Active Panorama] にコンテンツをインストールします。 インストール中に [sync to HA] を選択すると、セカンダリ パッシブ パノラマにもインストールされます。
アプリケーションと脅威のインストール
 
  1. 両方の Panorama HA ピアで、[ Panorama > High Availability ] に移動し、両方のピアからプリエンプティブ選択設定を無効にします。 これにより、Primary-Active が再起動されたときに、Primary-Active として返されなくなります。
選挙の設定
プライマリ/パッシブ Panorama とすべてのファイアウォール間のすべての接続を検証し、接続状態が確立されていることを確認します。
  1. Primary-Active Panorama を再起動します。
  2. Secondary-Active Panorama で、 Panorama > Device Deployment > Dynamic Updates に移動し、最新のコンテンツをダウンロードします。
  3. Secondary-Active Panorama で、 Panorama > Device Deployment > Dynamic Updates に移動し、管理対象のファイアウォールを選択して最新のコンテンツをインストールします。
コンテンツの選択 コンテンツのインストール
  1. コンテンツがすべての非HAファイアウォールに正常にインストールされたら、CLIを使用してセカンダリアクティブパノラマからファイアウォール をリブート します。
admin@panorama-ha2(secondary-active)> request batch reboot devices 007099000021287,012001076865
All devices rebooted
007099000021287
PA-VM
Successfully rebooted
012001076865
PA-820
Successfully rebooted
admin@panorama-ha2(secondary-active)>
  1. プライマリ-パッシブ パノラマがオンラインに戻ったら、プライマリ-パッシブ パノラマの証明書が CLI で更新されていることを確認します。
admin@panorama-ha1(primary-active)> show log system direction equal backward | match "Panorama"
00:05:32 info     general        general 0  MGMTPANHA1      Panorama certificate for Managing NGFW and log collectors has been successfully extended until 19-Nov-2033
  1. すべてのファイアウォールがオンラインに戻ったら、すべてのファイアウォールで証明書を検証します。 それらは今すぐ更新されるはずです。
admin@PA-VM> show log system direction equal backward receive_time in last-15-minutes | match "Panorama"
01:39:14 info     general        general 0  Panorama certificate for Managing NGFW and log collectors has been successfully extended until 19-Nov-2033.
  1. プライマリパッシブパノラマとすべてのファイアウォール間の接続をチェックして、接続状態が確立されていることを確認します。
Panorama Firewall 接続
  1. 次に、Secondary-Active Panorama の再起動に進みます。
  2. セカンダリパッシブパノラマがオンラインに戻ったら、次のCLIコマンドを使用して証明書が更新されていることを確認します。
admin@panorama-ha2(secondary-passive)> show log system direction equal backward | match "Panorama"
00:43:30 info     general        general 0  MGMTPANHA2      Panorama certificate for Managing NGFW and log collectors has been successfully extended until 19-Nov-2033.
  1. セカンダリパッシブパノラマとすべてのファイアウォール間の接続をチェックして、接続状態が確立されていることを確認します
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004OaHCAU&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language