Panorama_managed firewall n’est pas en mesure de se connecter à CDL- CSR l’erreur de certificat
33196
Created On 01/19/21 23:27 PM - Last Modified 10/06/21 01:12 AM
Symptom
Le firewall est géré par Panorama .
Le Panorama est en cours PAN-OS d’exécution 9.0.9 et en mode gestion seulement. Les firewall (s) gérés sont un mélange de PAN-OS code 9.0 et 8.1.
Tous les journaux sont envoyés CDL puis transmis au serveur syslog.
Le firewall Panorama_managed’est pas en mesure de se connecter et le « statut » indiqué il y CDL a une erreur de logging service logging Service CSR certificat.
Du Firewall Web UI :
Firewall montre que toutes les licences sont à jour.
De Firewall la ligne de commande: Vérifiez avec un journal
qu’il ya le même message d’erreur que ce qui est observé formulaire UI web: « erreur de signature CSR Panorama à: « Erreur CSR d’envoi de demande de signature à , Panorama « statut » : échec »
Le n’lcaas_agent pas de problèmes de connectivité avec le serveur firewall cloud: pings au cloud FQDN FQDN (voir énumérés ci-dessous (s) tous ping à travers le succès.
- firewall-prd1.us.cdl.paloaltonetworks.com TCP (3978)
- pcl-prd1.us.cdl.paloaltonetworks.com TCP (444)
- fei-prd1.us.cdl.paloaltonetworks.com TCP (port 443)
- br-prd1.us.cdl.paloaltonetworks.com TCP (port 443)
- lic.lc.prod.us.cs.paloaltonetworks.com TCP (port 444)
Si vous avez l’intention de résoudre logging_service problème, suivez ce document de dépannage.
De la firewall ligne de commande:
Les commandes pour « supprimer la licence » puis « re-fetch licence » tout s’est bien passé, cependant, lors de l’intention de « supprimer logging service certificat » puis « re-fetch certificat », les emplois pour « certificat aller chercher » échouerait.
> « demande de certificat de transfert de service d’enregistrement aller chercher » ---> ** la recherche créera un id d’emploi et le travail échouera.
Environment
Scénario de problème:
1: Toutes les licences sont à jour avec une bonne date d’expiration valide
2: Suppression et re-extraction de licence (s) n’a pas de
problème 3: et ont le même serveur et les Firewall Panorama NTP horloges sont
synchronisés 4: Pings de firewall et vers le service cloud Panorama FQDNs sont tous bons,
indiquant qu’il n’y a pas de blocage sur les appareils en amont. Vérification à Firewall partir de : >
debug management-server conn > demande de certificat de transfert de service de
journalisation supprimer >exail NTP
> request logging-service-forwarding status -----which will show logging-service license as "yes", but no logging service customer info, nor is showing the logging service agent data.> demande d’enregistrement de service de transfert
Logging Service d’état autorisé: Oui ------------------> licence de journalisation est Firewall bon transfert
Logging Service activé: Oui Informations
Logging Service certificat: Info: Erreur envoi de demande
de signature à --------------> un statut de message CSR Panorama
d’erreur: échec
Logging Service informations de fichier client:
Info: licence Logging Service n’est pas provisionnée. -------------> pas d’état des données clients
:
échec ** Il n’y a pas de vérification des données de l’agent à partir de : Vérifiez à l’aide de « plugins cloud service -service status » pour voir si le certificat est expiré *Exemple de sortie logging service * actif
Panorama
logging service logging service
principal)> demande plugins cloud_services état de service de
journalisation échoue {"@status »: « fail », « result »: {"PODamericas »: {"message »: « Impossible de se connecter à API la passerelle. (35, 'error:14094415: SSL routines:SSL3_READ_BYTES:
certificat d’alerte sslv3 expiré') », « résultat »: « fail"}}}
certificat
Logging service d’échec expiré ----------------------------> Message de certificat expiré N’a pas réussi logging service à aller chercher
l’ingestion / requête pour le FQDN client (curl échoué)
échec 0c22ed23-456c-43ae-8e96-d314cd341ff5.in2-lc-prod-us.gpcloudservice.com e8870173-8fd2-4114-99d3-6f450fdfb093.api2-lc-prod-us.gpcloudservice.com:444
2021/01/19 15:01:07 Amériques Vérification supplémentaire de la
ligne de
Panorama commande: Pings au serveur cloud montrent qu’il
n’y Panorama
a pas de problème de connectivité à partir de serveurs cloud. > hôte 0c22ed23-456c-43ae-8e96-d314cd341ff5.in2-lc-prod-us.gpcloudservice.com
PING firewall -prd1.us.cdl.paloaltonetworks.com (34.69.208.173) 56(84) octets de données.
64 octets de 34.69.208.173: icmp_seq=1 ttl=100 temps=69.3 ms
64 octets de 34.69.69.00208.173: icmp_seq=2 ttl=100 temps=69,1 ms
64 octets de 34.69.208.173: icmp_seq=34.69.208.173: icmp_seq=0 3 ttl=100 temps=69,1 ms
>ouest hôte e8870173-8fd2-4114-99d3-6f450fdfb093.api2-lc-prod-us.gpcloudservice.com
64 octets de 35.184.126.116: icmp_seq=1 ttl=100 temps=69,1
64 octets de 35.184.126.116: icmp_seq=1 ttl=100 temps=69,1 ms
Cause
Panorama_Managed de firewall se connecter en raison CDL CSR d’une erreur de certificat est déclenchée par « certificat expiré Panorama logging service ».
Resolution
Pour résoudre le Panorama logging service problème expiré du certificat, supprimez le plugin cloud_services panorama -certificat et récupérez le certificat.
De Panorama la ligne de
commande: > demande plugins cloud_services panorama -certificat supprimer Pass * Suivez ce document pour générer pour une utilisation dans
Panorama OTP
l’étape suivante https://docs.paloaltonetworks.com/ cortex / cortex -data-lake/ cortex -data-lake-getting-started/get-started-with- cortex -data-lake/devices-tab.html#idb113a7c9-f237-44bf-a288-c08e36e667d1_ide48cfb5e-0323-4119-99dd-793a255035ef
> demande plugins cloud_services panorama -certificat obtenu en suivant le OTP OTP document>
Vérifiez: De la ligne de
Panorama
commande: > afficher plugins clouds_service panorama -certificat de statut ----->le logging service va maintenant afficher une nouvelle date sans erreur.
À partir et re-fetch certificat > demande de certificat de transfert de service d’enregistrement Firewall CLI aller chercher La recherche montre
maintenant
qu’il n’y a pas d’erreur pour le certificat de service d’enregistrement. Le firewall maintenant montre en bon état se connecte à CDL .
Note: si Panorama est dans , le certificat besoin HA logging service refetch dans passif panorama ainsi