Firewall からアクセスできませんGUIしかしSSHは働いている

Firewall からアクセスできませんGUIしかしSSHは働いている

67714
Created On 07/13/22 11:16 AM - Last Modified 07/04/23 14:44 PM


Symptom


  • Firewall GUI アクセスできませんが、CLI /SSHは働いている。
  • への管理アクセスFirewallを使用して保護されていますSSL/TLSプロフィール
  • 上でCLI、 l3svcwebsrvrプロセスが実行されていません:
admin@Lab80-192-PA-3050> show system software status | match "websrvr\|l3svc"
Process  l3svc                stopped  (pid: -1) - Exit Code: 1
Process  websrvr              stopped  (pid: -1) - Exit Code: 1
  • 少ない mp ログ mgmt_ngx_error.logまたl3svc_ngx_error.logは、証明書のキー サイズが使用可能なバッファよりも大きいことを示しています。
[alert] 26864#0: nginx connected to sysd! SUCCESS
[emerg] 26864#0: client certificate id web_certificate_key key size 4365 larger than buffer 4096
[emerg] 26864#0: SSL: could not get key for web_certificate_key from cryptod, https access may not be available
...
  • 以前の構成バージョンをロードすると、WebUI アクセスの問題が修正されます。

Environment


  • Panorama 管理されたファイアウォール
  • PAN-OS 9.1、10.1
  • 安全なウェブ-GUI設定されたアクセス
  • からプッシュされた証明書Panorama.

Cause


壊れた/無効な証明書がロードされましたPanoramaまたFirewall.

Resolution


  1. によってプッシュされた秘密鍵を比較しますPanoramaおよびオーバーライドされた証明書の秘密鍵Firewall. 名前は同じでも、キーが異なる場合があることに注意してください。 例ではPanoramaとfirewall名前に関する限り、まったく同じ証明書を持っています。

            FW2.PNG

FW1.PNG
  1. 上でfirewall、コマンド " > プッシュされた設定テンプレートを表示"からプッシュされた秘密鍵を確認する Panorama
  2. ( を使用して、オーバーライドされた証明書の秘密鍵と比較します。 >設定 #show )、
  3. 確認したら、有効な証明書をインポートして構成を修正しますPanoramaそして同じものをFirewall.
 
ノート: この問題は、証明書がPanorama秘密鍵なしでファイアウォールにプッシュされます。
 

Additional Information


輸入A証明書と秘密鍵
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000CqVfCAK&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language