Commit Failure mit dem Fehler "Zertifikatfehler, Konfiguration wird zurückgesetzt"

Commit Failure mit dem Fehler "Zertifikatfehler, Konfiguration wird zurückgesetzt"

5193
Created On 04/25/24 09:54 AM - Last Modified 08/14/24 01:41 AM


Symptom


  • Nach der Konfiguration der sicheren Kommunikation mit benutzerdefiniertem Zertifikat schlägt der Commit fehl und wird zurückgesetzt.
  • In der Firewall schlägt der Commitauftrag aus folgendem Grund fehl:
Reason: Certificate error, reverting configuration
  • In configd.log (abzüglich mp-log configd.log) wird der folgende Fehler angezeigt.
-0700 [secure_conn] Verification of Server cert was unsuccessful
-0700 [secure_conn] Verification of Server cert was successful
-0700 Warning: pan_cmsa_tcp_channel_setup(cms_agent.c:1511): cmsa: using secure_conn_ctx
-0700 Error: pan_sec_conn_client_validation_impl(pan_sec_conn_client.c:455): [Secure conn verify result] Certificate verification failed due to Error 26 : unsupported certificate purpose 
-0700 Error: pan_cmsa_tcp_channel_setup(cms_agent.c:1741): ACR: Failed to verify certificate
-0700 ACR: Panorama connectivity check failed for <Panorama Address>. Reason: Certificate error, reverting configuration
-0700 ACR: Post-commit connectivity check failed, beginning to revert config

Environment


  • Von Panorama verwaltete PA-Firewalls
  • PAN-OS 10.2 sowohl auf Firewall als auch auf Panorama
  • Sichere Kommunikation zwischen Firewall und Panorama mit benutzerdefiniertem Zertifikat

Cause


Das Zertifikat der selbstsignierten Zertifizierungsstelle und ein von der Zertifizierungsstelle signiertes Zertifikat werden sowohl von Panorama als auch von der Firewall verwendet.

Panorama:

  • Unter GUI: Panorama > Zertifikatsverwaltung > Zertifikate wird "FW_cert" wie folgt generiert
  • Dieses Zertifikat wird unter der GUI verwendet: Einstellung "Device > Setup > Management" > "Sichere Kommunikation" > "Sichere Serverkommunikation anpassen"
Panorama-1.png

Firewall:
  • Unter GUI: Geräte- > Zertifikatsverwaltung > Zertifikate wird "FW_cert" aus der Panorama-Vorlage übertragen.
  • Dieses Zertifikat wird verwendet GUI: Panorama > Setup > Management > Secure Communication-Einstellung > Zertifikat
Firewall-1.png
  • Da sowohl für Panorama als auch für Firewall dasselbe Zertifikat verwendet wird, schlägt der Commit fehl.

 

Resolution


  1. Verwenden Sie separate Zertifikate für Panorama und Firewall.
  2. Als Beispiel werden 2 Zertifikate generiert, Pan_cert auf Panorama und FW_cert auf der Firewall verwendet wird.

Panorama-3.png

 

 

Additional Information
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000CrP4CAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language