如何缓解 HA Panorama 管理的非 HA 防火墙在 4 月 7 日之后的 Panorama 证书到期问题

如何缓解 HA Panorama 管理的非 HA 防火墙在 4 月 7 日之后的 Panorama 证书到期问题

9158
Created On 03/28/24 01:04 AM - Last Modified 05/07/24 13:57 PM


Objective


本文提供了分步过程,以缓解 Panorama 在高可用性模式下管理 的非 HA 防火墙 在 4 月 7 日之后的 Panorama 证书到期。

Environment


  • 高可用性全景
  • 非 HA 防火墙。
  • PAN-OS 9.1 或更高版本

Procedure


  • 确认防火墙已连接到两个 Panorama HA 对等体。 要验证这一点,请从下面的防火墙 CLI 执行以下命令:
admin@PA-VM(active)> show panorama-status 

Panorama Server 1 : 10.124.158.175
    Connected     : yes
    HA state      : Active
Panorama Server 2 : 10.124.158.160
    Connected     : yes
    HA state      : Passive
  • 如果已在全景 HA 对上安装并更新了新内容,请直接转到 步骤 5。
  1. 在“ 全景动态更新”下下载有关“主活动全景”>最新内容。 如果在下载过程中选择了“同步到 HA”,则此操作还将下载辅助被动上的内容。
下载应用程序和威胁
  1. 将内容安装在 “全景动态更新”下的“主活动全景”>。 如果在安装过程中选择“同步到 HA”,它也将安装在辅助-被动全景图上。
安装应用程序和威胁
 
  1. 在两个 Panorama HA 对等方上,转到 Panorama > High Availability ,然后禁用这两个对等方的抢占式选举设置。 这将确保在重新启动 Primary-Active 时,它不会返回为 Primary-Active。
选举设置
验证主被动 Panorama 与所有防火墙之间的所有连接,并确保已建立连接状态。
  1. 重新启动主活动全景图。
  2. 在辅助活动全景图上,转到全景 >设备部署>动态更新,然后下载最新内容。
  3. 在“辅助活动全景”上,转到“全景 >设备部署>动态更新”,然后通过选择托管防火墙来安装最新内容。
选择内容 安装内容
  1. 在所有非 HA 防火墙上成功安装内容 后,请 通过 CLI 从辅助活动全景重新启动防火墙:
admin@panorama-ha2(secondary-active)> request batch reboot devices 007099000021287,012001076865
All devices rebooted
007099000021287
PA-VM
Successfully rebooted
012001076865
PA-820
Successfully rebooted
admin@panorama-ha2(secondary-active)>
  1. 主被动全景图重新联机后,验证主被动全景图上的证书是否已通过 CLI 更新。
admin@panorama-ha1(primary-active)> show log system direction equal backward | match "Panorama"
00:05:32 info     general        general 0  MGMTPANHA1      Panorama certificate for Managing NGFW and log collectors has been successfully extended until 19-Nov-2033
  1. 所有防火墙重新联机后,验证所有防火墙上的证书。 它们现在应该更新。
admin@PA-VM> show log system direction equal backward receive_time in last-15-minutes | match "Panorama"
01:39:14 info     general        general 0  Panorama certificate for Managing NGFW and log collectors has been successfully extended until 19-Nov-2033.
  1. 检查主被动全景与所有防火墙之间的连接,以确保连接状态已建立。
Panorama 防火墙连接
  1. 现在继续重新启动辅助活动全景图。
  2. 辅助-被动全景重新联机后,请确保使用下面的 CLI 命令更新证书。
admin@panorama-ha2(secondary-passive)> show log system direction equal backward | match "Panorama"
00:43:30 info     general        general 0  MGMTPANHA2      Panorama certificate for Managing NGFW and log collectors has been successfully extended until 19-Nov-2033.
  1. 检查辅助-被动 Panorama 与所有防火墙之间的连接,以确保连接状态已建立
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004OaHCAU&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language