Error de confirmación con el error "Error de certificado, configuración de reversión"

Error de confirmación con el error "Error de certificado, configuración de reversión"

5193
Created On 04/25/24 09:54 AM - Last Modified 08/14/24 01:41 AM


Symptom


  • Después de configurar la comunicación segura con certificado personalizado, se produce un error en la confirmación y se revierte.
  • En el firewall, se produce un error en el trabajo de confirmación por el siguiente motivo:
Reason: Certificate error, reverting configuration
  • En configd.log (menos mp-log configd.log), se muestra el siguiente error.
-0700 [secure_conn] Verification of Server cert was unsuccessful
-0700 [secure_conn] Verification of Server cert was successful
-0700 Warning: pan_cmsa_tcp_channel_setup(cms_agent.c:1511): cmsa: using secure_conn_ctx
-0700 Error: pan_sec_conn_client_validation_impl(pan_sec_conn_client.c:455): [Secure conn verify result] Certificate verification failed due to Error 26 : unsupported certificate purpose 
-0700 Error: pan_cmsa_tcp_channel_setup(cms_agent.c:1741): ACR: Failed to verify certificate
-0700 ACR: Panorama connectivity check failed for <Panorama Address>. Reason: Certificate error, reverting configuration
-0700 ACR: Post-commit connectivity check failed, beginning to revert config

Environment


  • Firewalls de PA administrados por Panorama
  • PAN-OS 10.2 tanto en Firewall como en Panorama
  • Comunicación segura entre el firewall y Panorama con certificado personalizado

Cause


Tanto el Panorama como el firewall utilizan el certificado de CA autofirmado y un certificado firmado por la CA.

Panorama:

  • En la interfaz gráfica de usuario: Panorama > Gestión de certificados > Certificados "FW_cert " se genera de la siguiente manera
  • Este certificado se utiliza en la GUI: Configuración > administración de dispositivos > configuración > Comunicación segura > Personalizar la comunicación segura del servidor
Panorama-1.png

Firewall:
  • En GUI: Dispositivo > Administración de certificados > Certificados "FW_cert " se inserta desde la plantilla Panorama.
  • Este certificado se utiliza GUI: Panorama > Configuración > administración > configuración de comunicación segura > Certificado
Firewall-1.png
  • Dado que se utiliza el mismo certificado tanto en Panorama como en Firewall, se produce un error en la confirmación.

 

Resolution


  1. Utilice certificados independientes para el Panorama y el Firewall.
  2. A modo de ejemplo, se generan 2 certificados, Pan_cert se utiliza en Panorama y FW_cert se utiliza en el Firewall.

Panorama-3.png

 

 

Additional Information
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000CrP4CAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language