Panorama_managed no firewall puede conectarse CDL- con CSR el error del certificado
33200
Created On 01/19/21 23:27 PM - Last Modified 10/06/21 01:12 AM
Symptom
El firewall está gestionado por Panorama .
Se Panorama ejecuta PAN-OS 9.0.9 y en modo de solo administración. Los firewall (s) administrados son una mezcla de PAN-OS código 9.0 y 8.1.
Todos los registros se envían CDL y luego se reenvían al syslog-server.
El Panorama_managed firewall no puede conectarse y el CDL logging service logging Service "estado" que se muestra allí es un CSR error del certificado.
Desde Firewall la Web UI :
Firewall muestra que todas las licencias están actualizadas.
Desde Firewall la línea de comandos:
verifique con lcaas_agent registro que hay el mismo mensaje de error que lo que se observa forma web UI : " error de firma a : CSR Panorama "Error al enviar la solicitud de firma CSR a , Panorama 'estado': error"
El no tiene problemas de conectividad con el servidor en la firewall nube: pings a la nube (ver enumerado a FQDN continuación FQDN (s) todo ping a través de acertado.
- firewall-prd1.us.cdl.paloaltonetworks.com ( TCP 3978)
- pcl-prd1.us.cdl.paloaltonetworks.com ( TCP 444)
- fei-prd1.us.cdl.paloaltonetworks.com TCP (puerto 443)
- br-prd1.us.cdl.paloaltonetworks.com TCP (puerto 443)
- lic.lc.prod.us.cs.paloaltonetworks.com TCP (puerto 444)
Si tiene la intención de solucionar el problema de logging_service siga este documento de solución de problemas.
Desde la firewall línea de comandos:
Los comandos para "eliminar licencia" y luego "volver a capturar la licencia" todo salió bien, sin embargo, cuando la intención de "eliminar logging service certificado" a continuación "volver a capturar certificado", los trabajos para "obtención de certificados" fallarían.
>"solicitar la obtención de certificados de reenvío de servicio" ---> ** la captura creará un identificador de trabajo y se producirá un error en el trabajo.
Environment
Escenario de emisión:
1: Todas las licencias están actualizadas con una buena fecha de caducidad válida
2: Eliminar y volver a obtener licencias no tiene ningún problema
3: Firewall y tienen el mismo servidor y los relojes están en sincronización Panorama NTP
4: Pings de firewall y a Panorama FQDN de servicio en la nube son todos buenos, lo que indica que no hay bloqueo en los dispositivos ascendentes.
Verificación desde Firewall :
> debug management-server conn
> solicitar la eliminación del certificado de reenvío de servicio de registro
> mostrar NTP
> request logging-service-forwarding status -----which will show logging-service license as "yes", but no logging service customer info, nor is showing the logging service agent data.> estado de reenvío de servicio de registro de solicitudes
Logging Service Bajo licencia: Sí, ------------------> Firewall licencia de registro está
Logging Service habilitada: Sí Información del
Logging Service certificado:
Información: Error al enviar la solicitud CSR de firma a --------------> Estado del mensaje de Panorama
error:
Logging Service error Información del archivo del cliente:
Información: Logging Service la licencia no está aprovisionada. -------------> ningún estado de los datos
del cliente: error
** No hay logging service verificación de datos del agente
Panorama desde: Verifique el uso de
"plugins cloud service logging service -service status" para ver si el logging service certificado ha caducado
*Ejemplo de salida *
primary-active)> solicitar complementos cloud_services error de estado del servicio de registro
{"@status": "fail", "result": {"PODamericas": {"message": "Unable to connect to API gateway. (35, 'error:14094415: SSL routines:SSL3_READ_BYTES:
sslv3 alert certificate expired')", "result": "fail"}}}
Logging serviceerror en el certificado caducado ----------------------------> mensaje certificado caducado No se pudo obtener logging service
ingerir/consultar FQDN para el error del cliente (curl failed)
0c22ed23-456c-43ae-8e96-d314cd341ff5.in2-lc-prod-us.gpcloudservice.com e8870173-8fd2-4114-99d3-6f450fdfb093.api2-lc-prod-us.gpcloudservice.com:444
2021/01/19 15:01:07
americas Verificación adicional desde la línea
de Panorama comandos:
Pings al servidor en la nube muestran que no hay ningún problema de conectividad de los servidores en Panorama la nube.
>la 0c22ed23-456c-43ae-8e96-d314cd341ff5.in2-lc-prod-us.gpcloudservice.com de host
PING firewall -prd1.us.cdl.paloaltonetworks.com (34.69.208.173) 56(84) bytes de datos.
64 bytes desde 34.69.208.173: icmp_seq=1 ttl=100 time=69.3 ms
64 bytes desde 34.69.2 08.173: icmp_seq=2 ttl=100 time=69.1 ms
64 bytes desde 34.69.208.173: icmp_seq=3 ttl=100 time=69.1 ms
>ping host e8870173-8fd2-4114-99d3-6f450fdfb093.api2-lc-prod-us.gpcloudservice.com
64 bytes desde 35.184.126.116: icmp_seq=1 ttl=1 ttl=100 time=69.1
64 bytes desde 35.184.126.116: icmp_seq=1 ttl=100 time=69.1 ms
Cause
Panorama_Managed no firewall se puede conectar CDL debido a un error de certificado se desencadena por CSR Panorama logging service "certificado caducado".
Resolution
Para resolver el problema caducado del Panorama logging service certificado, elimine el complemento cloud_services panorama -certificate y vuelva a capturar el certificado.
Desde la línea de Panorama comandos:
> solicitar plugins cloud_services panorama -certificate delete Pass * Siga
este documento para generar para su uso en el siguiente paso https://docs.paloaltonetworks.com/
/ Panorama OTP
cortex cortex -data-lake/ cortex -data-lake-getting-started/get-started-with- cortex -data-lake/devices-tab.html#idb113a7c9-f237-44bf-a288-c08e36e667d1_ide48cfb5e-0323-4119-99dd-793a255035ef
> solicitar plugins cloud_services panorama -certificate fetch obtenido siguiendo el OTP OTP documento> Verificar: Desde la
línea de
Panorama comandos: > mostrar
plugins clouds_service panorama -estado del certificado ----->the logging service ahora mostrará una nueva fecha sin error.
Desde Firewall CLI y volver a capturar el certificado >
solicitar la obtención de certificados de reenvío de servicio de registro
La obtención ahora muestra que no hay ningún error para el certificado de servicio de registro. El firewall ahora se muestra en buen estado se conecta a CDL .
Nota: si Panorama está en , el certificado necesita la revancha en pasivo HA logging service panorama también