Firewall nicht erreichbar von, GUI funktioniert aber SSH

Firewall nicht erreichbar von, GUI funktioniert aber SSH

67950
Created On 07/13/22 11:16 AM - Last Modified 07/04/23 14:44 PM


Symptom


  • Firewall GUI ist nicht zugänglich, funktioniert aber CLI/SSH funktioniert.
  • Der Verwaltungszugriff auf Firewall ist mit SSL/TLS Profil gesichert
  • Auf den CLIProzessen werden l3svc und websrvr nicht ausgeführt:
admin@Lab80-192-PA-3050> show system software status | match "websrvr\|l3svc"
Process  l3svc                stopped  (pid: -1) - Exit Code: 1
Process  websrvr              stopped  (pid: -1) - Exit Code: 1
  • Weniger MP-LOG-mgmt_ngx_error.log oder l3svc_ngx_error.log zeigt an, dass die Schlüsselgröße eines Zertifikats größer ist als der verfügbare Puffer.
[alert] 26864#0: nginx connected to sysd! SUCCESS
[emerg] 26864#0: client certificate id web_certificate_key key size 4365 larger than buffer 4096
[emerg] 26864#0: SSL: could not get key for web_certificate_key from cryptod, https access may not be available
...
  • Das Laden einer früheren Konfigurationsversion behebt das Problem mit dem WebUI-Zugriff.

Environment


  • Panorama verwaltete Firewalls
  • PAN-OS 9.1, 10.1
  • SichererGUI Web-Zugang konfiguriert
  • Zertifikate, die von gepusht werden Panorama.

Cause


Beschädigtes/ungültiges Zertifikat, das auf oder Firewallgeladen wurdePanorama.

Resolution


  1. Vergleichen Sie den privaten Schlüssel, der von Panorama gepusht und überschrieben wirdFirewall. Beachten Sie, dass die Tasten unterschiedlich sein können, obwohl der Name derselbe ist. Im Beispiel Panorama und firewall hat genau das gleiche Zertifikat, was den Namen betrifft.

            FW2.PNG

FW1.PNG
  1. Verwenden Sie den firewallBefehl "> show config pushed-template", um den privaten Schlüssel zu überprüfen, der von Panorama
  2. Vergleichen Sie es mit dem überschriebenen privaten Schlüssel des Zertifikats mit (>konfigurieren Sie #show),
  3. Korrigieren Sie nach der Bestätigung die Konfiguration, Firewallindem Sie ein gültiges Zertifikat importieren Panorama und auf .
 
Hinweis: Das Problem kann auftreten, wenn das Zertifikat ohne privaten Schlüssel importiert und an Firewalls Panorama übertragen wird.
 

Additional Information


Zertifikat und privaten Schlüssel importieren A
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000CqVfCAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language