Firewall No es accesible por GUI pero SSH está funcionando
67698
Created On 07/13/22 11:16 AM - Last Modified 07/04/23 14:44 PM
Symptom
- Firewall GUI no es accesible pero CLI/SSH está funcionando.
- El acceso de administración a Firewall está protegido mediante SSL/TLS perfil
- En los CLIprocesos , l3svc y websrvr no se están ejecutando:
admin@Lab80-192-PA-3050> show system software status | match "websrvr\|l3svc"
Process l3svc stopped (pid: -1) - Exit Code: 1
Process websrvr stopped (pid: -1) - Exit Code: 1
- Menos mgmt_ngx_error.log MP-LOG o l3svc_ngx_error.log muestra que el tamaño de clave de un certificado es mayor que el búfer disponible.
[alert] 26864#0: nginx connected to sysd! SUCCESS
[emerg] 26864#0: client certificate id web_certificate_key key size 4365 larger than buffer 4096
[emerg] 26864#0: SSL: could not get key for web_certificate_key from cryptod, https access may not be available
...
- La carga de una versión de configuración anterior corrige el problema de acceso a WebUI.
Environment
- Panorama Firewalls administrados
- PAN-OS 9.1, 10.1
- Acceso web seguroGUI configurado
- Certificados insertados desde Panorama.
Cause
Certificado dañado/no válido cargado el Panorama o Firewall.
Resolution
- Compare la clave privada insertada por Panorama y la clave privada de certificado reemplazada en Firewall. Tenga en cuenta que aunque el nombre es el mismo, las claves pueden diferir. En el ejemplo Panorama y firewall tiene exactamente el mismo certificado en lo que respecta al nombre.
- En el , utilice el firewallcomando "> show config pushed-template" para comprobar la clave privada insertada desde Panorama
- Compárelo con la clave privada de certificado anulada mediante (>configure #show),
- Una vez confirmada, corrija la configuración importando un certificado válido y Panorama enviando el mismo a Firewall.
Nota: El problema puede producirse cuando el certificado se importa en el Panorama sin clave privada y se envía a firewalls.
Additional Information
Importar A certificado y clave privada