Firewall 无法访问GUI但SSH工作中

Firewall 无法访问GUI但SSH工作中

67688
Created On 07/13/22 11:16 AM - Last Modified 07/04/23 14:44 PM


Symptom


  • Firewall GUI 无法访问但是CLI/SSH工作中。
  • 管理权限Firewall使用安全SSL/TLS轮廓
  • 在CLI, l3svc网络服务器进程未运行:
admin@Lab80-192-PA-3050> show system software status | match "websrvr\|l3svc"
Process  l3svc                stopped  (pid: -1) - Exit Code: 1
Process  websrvr              stopped  (pid: -1) - Exit Code: 1
  • 更少的 mp 日志 mgmt_ngx_error.log或者l3svc_ngx_error.log显示证书的密钥大小大于可用缓冲区。
[alert] 26864#0: nginx connected to sysd! SUCCESS
[emerg] 26864#0: client certificate id web_certificate_key key size 4365 larger than buffer 4096
[emerg] 26864#0: SSL: could not get key for web_certificate_key from cryptod, https access may not be available
...
  • 加载以前的配置版本修复了 WebUI 访问问题。

Environment


  • Panorama 托管防火墙
  • PAN-OS 9.1, 10.1
  • 安全网络-GUI访问已配置
  • 从中推送的证书Panorama.

Cause


已加载损坏/无效的证书Panorama或者Firewall.

Resolution


  1. 比较推送的私钥Panorama和覆盖的证书私钥Firewall. 请注意,即使名称相同,密钥也可能不同。 在例子中Panorama和firewall就名称而言,具有完全相同的证书。

            FW2。PNG

FW1。PNG
  1. 在firewall,使用命令“ > 显示配置推送模板"检查从中推送的私钥 Panorama
  2. 使用 ( >配置#show ),
  3. 一旦确认通过导入有效证书来更正配置Panorama并将其推向Firewall.
 
笔记: 导入证书时可能会出现此问题Panorama没有私钥并推送到防火墙。
 

Additional Information


进口A证书和私钥
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000CqVfCAK&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language