Commit Failure avec l’erreur « Erreur de certificat, annulation de la configuration »

Commit Failure avec l’erreur « Erreur de certificat, annulation de la configuration »

5197
Created On 04/25/24 09:54 AM - Last Modified 08/14/24 01:41 AM


Symptom


  • Après la configuration de la communication sécurisée avec un certificat personnalisé, la validation échoue et est rétablie.
  • Sur le pare-feu, la tâche de validation échoue pour la raison suivante :
Reason: Certificate error, reverting configuration
  • Dans configd.log (moins mp-log configd.log), l’erreur suivante s’affiche.
-0700 [secure_conn] Verification of Server cert was unsuccessful
-0700 [secure_conn] Verification of Server cert was successful
-0700 Warning: pan_cmsa_tcp_channel_setup(cms_agent.c:1511): cmsa: using secure_conn_ctx
-0700 Error: pan_sec_conn_client_validation_impl(pan_sec_conn_client.c:455): [Secure conn verify result] Certificate verification failed due to Error 26 : unsupported certificate purpose 
-0700 Error: pan_cmsa_tcp_channel_setup(cms_agent.c:1741): ACR: Failed to verify certificate
-0700 ACR: Panorama connectivity check failed for <Panorama Address>. Reason: Certificate error, reverting configuration
-0700 ACR: Post-commit connectivity check failed, beginning to revert config

Environment


  • Pare-feu PA gérés par Panorama
  • PAN-OS 10.2 sur le pare-feu et Panorama
  • Communication sécurisée entre le pare-feu et Panorama avec un certificat personnalisé

Cause


Le certificat d’autorité de certification auto-signé et un certificat signé par l’autorité de certification sont utilisés à la fois par Panorama et le pare-feu.

Panorama:

  • Sous l’interface graphique : Panorama > Gestion des certificats > Certificats « FW_cert » est généré comme ci-dessous
  • Ce certificat est utilisé sous l’interface graphique : Configuration > gestion > périphérique > Paramètre de communication sécurisée > Personnaliser la communication sécurisée du serveur
Panorama-1.png

Pare-feu:
  • Sous l’interface graphique : Gestion des > des certificats > Certificats « FW_cert » est poussé à partir du modèle Panorama.
  • Ce certificat est utilisé GUI : Panorama > Configuration > Gestion > Configuration de la communication sécurisée > Certificat
Firewall-1.png
  • Étant donné que le même certificat est utilisé à la fois sur Panorama et sur le pare-feu, la validation échoue.

 

Resolution


  1. Utilisez des certificats distincts pour le Panorama et le Firewall.
  2. A titre d’exemple, 2 certificats sont générés, Pan_cert est utilisé sur Panorama et FW_cert est utilisé sur Firewall.

Panorama-3.png

 

 

Additional Information
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000CrP4CAK&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language