Panorama_managed firewall kann keine Verbindung mit CDL- CSR Zertifikatsfehler herstellen
33200
Created On 01/19/21 23:27 PM - Last Modified 10/06/21 01:12 AM
Symptom
Der firewall wird von Panorama verwaltet.
Der Panorama läuft PAN-OS 9.0.9 und im Randmodus. Die verwalteten firewall (s) sind eine Mischung aus PAN-OS 9.0 und 8.1 Code.
Alle Protokolle werden an CDL den syslog-Server gesendet und dann weitergeleitet.
Die Panorama_managed firewall kann keine Verbindung CDL logging service herstellen, und der logging Service angezeigte "Status" ist ein CSR Zertifikatsfehler.
Aus dem Firewall Web UI :
Firewall zeigt an, dass alle Lizenzen auf dem neuesten Stand sind.
Von Firewall der Befehlszeile:
Überprüfen Sie mit lcaas_agent Protokoll, dass es die gleiche Fehlermeldung wie das, was beobachtet wird Formular UI Web: " CSR Signaturfehler zu : Panorama "Fehler beim Senden von CSR Signaturanforderung an , Panorama 'Status': Fehler"
Die hat keine firewall Verbindungsprobleme mit dem Cloud-Server: Pings an die Cloud FQDN (siehe unten aufgeführt FQDN (s) alle Ping durch erfolgreich.
- firewall-prd1.us.cdl.paloaltonetworks.com ( TCP 3978)
- pcl-prd1.us.cdl.paloaltonetworks.com ( TCP 444)
- fei-prd1.us.cdl.paloaltonetworks.com TCP (Port 443)
- br-prd1.us.cdl.paloaltonetworks.com TCP (Port 443)
- lic.lc.prod.us.cs.paloaltonetworks.com TCP (Port 444)
Wenn Sie beabsichtigen, das problem logging_service zu beheben, folgen Sie diesem Dokument zur Fehlerbehebung.
Aus der firewall Befehlszeile:
Die Befehle für "Lizenz löschen" und dann "Wiederabruflizenz" gingen alle gut, aber wenn sie beabsichtigen, "Zertifikat" zu löschen, logging service dann "Zertifikat wieder abrufen", würden die Aufträge für "Zertifikatsabruf" fehlschlagen.
>"request logging-service-forwarding certificate fetch" ---> ** erstellt der Abruf eine Auftrags-ID, und der Auftrag schlägt fehl.
Environment
Problemszenario:
1: Alle Lizenzen sind auf dem neuesten Stand mit einem gültigen Ablaufdatum
2: Das Löschen und erneutes Abrufen von Lizenzen hat kein Problem
3: Firewall und haben den gleichen Server und die gleichen Uhren sind in Sync Panorama NTP
4: Pings von firewall und zu Panorama Cloud-Dienst-FQDNs sind alle gut, was darauf hinweist, dass es keine Blockierung auf Upstream-Geräten gibt.
Überprüfung von Firewall :
> Debug-Management-Server-Conn
> Anforderung stologzieren-Service-Weiterleitungszertifikat löschen
> anzeigen NTP
> request logging-service-forwarding status -----which will show logging-service license as "yes", but no logging service customer info, nor is showing the logging service agent data.>-Anforderung Protokollierungs-Service-Weiterleitungsstatus
Logging Service Lizenziert: Ja ------------------> Firewall Protokollierungslizenz ist gut
Logging Service weitergeleitet: Ja
Logging Service Zertifikatsinformationen:
Info: Fehler beim Senden der CSR Signaturanforderung an Panorama --------------> Fehlermeldung
Status: Fehler
Logging Service Kundendateiinformationen:
Info: Lizenz wird nicht Logging Service bereitgestellt. -------------> keine Kundendaten
Status: Fehler
** Es gibt keine logging service Agentendaten
Überprüfung von : Überprüfen Sie mit Panorama
"plugins cloud service logging service -service status", um festzustellen, ob das logging service Zertifikat abgelaufen ist
*Ausgabebeispiel *
primär-aktiv)> Anforderungs-Plugins cloud_services Protokoll-Service-Status
fehlschlagen ""@status": "fail", "result": "PODamericas": "Message": "Keine Verbindung zum API Gateway. (35, 'error:14094415: SSL routines:SSL3_READ_BYTES:
sslv3 alert certificate expired')), "result": "fail""
Logging serviceFail-Zertifikat abgelaufen ----------------------------> Abgelaufene Zertifikatmeldung Fehler beim Abrufen von logging service
Ingest/Query FQDN for Customer (curl failed)-Fehler
0c22ed23-456c-43ae-8e96-d314cd341ff5.in2-lc-prod-us.gpcloudservice.com e8870173-8fd2-4114-99d3-6f450fdfb093.api2-lc-prod-us.gpcloudservice.com:444
2021/01/19 15:01:07
americas Weitere Überprüfung von der
Panorama
Befehlszeile: Pings an Cloud-Server zeigen, dass kein Verbindungsproblem von Panorama Cloud-Servern aus vorliegt.
>ping-Host-0c22ed23-456c-43ae-8e96-d314cd341ff5.in2-lc-prod-us.gpcloudservice.com
PING firewall -prd1.us.cdl.paloaltonetworks.com (34.69.208.173) 56(84) Datenbytes.
64 Bytes ab 34.69.208.173: icmp_seq=1 ttl=100 time=69.3 ms
64 bytes von 34.69.208.173: icmp_seq=2 ttl=100 time=69.1 ms
64 bytes ab 34.69.208.173: icmp_seq=3 ttl=100 time=69.1 ms
>ping-Host e8870173-8fd2-4114-99d3-6f450fdfb093.api2-lc-prod-us.gpcloudservice.com
64 Bytes ab 35.184.126.116: icmp_seq=1 ttl=100 time=69.1
64 bytes ab 35.184.126.116: icmp_seq=1 ttl=100 time=69.1 ms
Cause
Panorama_Managed firewall aufgrund eines Zertifikatsfehlers keine Verbindung herstellen kann, CDL wird durch CSR Panorama logging service "Zertifikat abgelaufen" ausgelöst.
Resolution
Um das abgelaufene Zertifikat zu Panorama logging service beheben, löschen Sie das Plugin cloud_services panorama -zertifikat, und rufen Sie das Zertifikat erneut ab.
Von Panorama der
Befehlszeile: >-Anforderungs-Plugins cloud_services panorama -zertifikat löschen
Pass * Folgen Sie diesem
Dokument, um es im folgenden Schritt zu generieren Panorama OTP https://docs.paloaltonetworks.com/
/ cortex cortex -data-lake/ cortex -data-lake-getting-started/get-started-with- cortex -data-lake/devices-tab.html-idb113a7c9-f237-44bf -a288-c08e36e667d1_ide48cfb5e-0323-4119-99dd-793a255035ef
>-Anforderungs-Plugins cloud_services panorama -zertifikats-Fetch OTP OTP erhalten, indem Sie das Dokument >
Überprüfen: Von der
Panorama
Befehlszeile: > Plugins clouds_service panorama -Zertifikat-Status anzeigen logging service ----->wird nun ein neues Datum ohne Fehler anzeigen.
Vom Firewall CLI Zertifikat und erneutes Abrufen
> Anforderungsprotokollierungs-Service-WeiterleitungszertifikatabrufS
Der Abruf zeigt jetzt an, dass kein Fehler für das Protokollierungsdienstzertifikat vorliegt. Die firewall jetzt zeigt in gutem Status verbindet sich mit CDL .
Hinweis: Wenn Panorama in HA ist, muss das logging service Zertifikat auch in passiver panorama