firewall CDL- Panorama_managedは証明書エラーで接続できません CSR
33204
Created On 01/19/21 23:27 PM - Last Modified 10/06/21 01:12 AM
Symptom
firewallによって管理されます Panorama 。
Panoramaは PAN-OS 9.0.9 を実行しており、管理専用モードです。 マネージ firewall コードは PAN-OS 9.0 と 8.1 のコードを組み合わせたものになります。
すべてのログは CDL 、syslog サーバに送信され、その後に転送されます。
Panorama_managed firewall に接続できません CDL logging service が、 logging Service 証明書エラーが表示される "状態" です CSR 。
ウェブから Firewall UI :
Firewall すべてのライセンスが最新であることを示します。
コマンド ラインから: lcaas_agent Firewall
ログで、web : " 署名エラー : "署名エラー" に対するエラーを確認します UI : CSR Panorama " CSR 署名要求を送信中にエラーが発生しました、 Panorama 'status': 失敗"
クラウド firewall サーバーとの接続の問題はありません: クラウドへの ping (以下の下の一 FQDN 覧 FQDN を参照して、成功を通じてすべての ping を参照)。
- firewall-prd1.us.cdl.paloaltonetworks.com ( TCP 3978)
- pcl-prd1.us.cdl.paloaltonetworks.com ( TCP 444)
- fei-prd1.us.cdl.paloaltonetworks.com ( TCP ポート 443)
- br-prd1.us.cdl.paloaltonetworks.com ( TCP ポート 443)
- lic.lc.prod.us.cs.paloaltonetworks.com ( TCP ポート 444)
logging_service問題を解決する場合は、このトラブルシューティングのドキュメントに 従ってください。
コマンドラインから firewall :
"ライセンスの削除" と "再取得ライセンス" のコマンドはすべてうまくいきましたが、「証明書を削除」 logging service してから「証明書を再取得」しようとすると、「証明書の取得」のジョブは失敗します。
>"要求サービス転送証明書フェッチ" ---> ** フェッチはジョブ ID を作成し、ジョブは失敗します。
Environment
問題のシナリオ:
1: すべてのライセンスが有効な有効期限が有効な日付
2: ライセンスの削除と再取得には問題がない 3: 同
Firewall Panorama じ NTP サーバーとクロックが同期されている
: クラウド サービスの FQDN との間の ping firewall Panorama はすべて良好で、アップストリーム デバイスにブロックがないことを示します。
からの検証 Firewall :
>デバッグ管理サーバー conn
>要求ログ サービス転送証明書削除
>表示 NTP
> request logging-service-forwarding status -----which will show logging-service license as "yes", but no logging service customer info, nor is showing the logging service agent data.>要求ログ サービス転送状態
Logging Service ライセンス: はい ------------------> Firewall ログ ライセンスは有効な転送が有効
Logging Service です: はい
Logging Service 証明書情報
: 情報: CSR エラーエラーの署名要求 -------------->を送信エラー Panorama
の状態:
Logging Service 失敗顧客ファイル情報:
情報: Logging Service ライセンスがプロビジョニングされていません。 ------------->顧客データ
ステータスなし: 失敗
** logging service エージェントデータ
検証元 : Panorama
"plugins クラウドサービス logging service -サービスステータス" を使用して logging service 、証明書が期限切れかどうかを確認して証明書が期限切れになっているかどうかを確認します
*出力例 *
プライマリアクティブ)>要求プラグインcloud_servicesログサービスステータス
が失敗
します {"@status": "失敗", "結果" : {"PODamericas" : {"ゲートウェイに接続できません API " (35, 'エラー:14094415: SSL ルーチン:SSL3_READ_BYTES:
sslv3 アラート証明書の有効期限が切れています。"結果": "fail"}}
Logging service証明書の期限が切れた---------------------------->期限切れ logging service 証明書メッセージ 顧客
の取り込み/クエリの取得 FQDN に失敗しました (カール失敗)
エラー 0c22ed23-456c-43ae-8e96-d314cd341ff5.in2-lc-prod-us.gpcloudservice.com
2021/01/19 15:01:07 アメリカ e8870173-8fd2-4114-99d3-6f450fdfb093.api2-lc-prod-us.gpcloudservice.com:444
コマンドラインからのさらに検証 Panorama :
クラウドサーバーへの ping は、 Panorama クラウドサーバーへの接続の問題がないことを示しています。
>ホスト 0c22ed23-456c-43ae-8e96-d314cd341ff5.in2-lc-prod-us.gpcloudservice.com
PING firewall -prd1.us.cdl.paloaltonetworks.com (34.69.208.173) 56(84) バイトのデータを ping します。
34.69.208.173 からの 64 バイト: icmp_seq =1 ttl=100 time=69.3 ms
64 バイトから 34.69.208.173: icmp_seq=2 ttl=100 時間
=69.1 ms 64 バイトから 34.69.208.173: icmp_seq==== 3 ttl=100 time=69.1 ms
>ホスト e8870173-8fd2-4114-99d3-6f450fdfb093.api2-lc-prod-us.gpcloudservice.com
35.184.126.116 から 64 バイト: icmp_seq=1 ttl=100 時間
=69.1 64 バイトから 35.184.126.116: icmp_seq=1 ttl=100 時間= 69.1 ms
Cause
firewall CDL 証明書エラーが原因で接続できないPanorama_Managed CSR は Panorama logging service 、"証明書の有効期限が切れた" によってトリガーされます。
Resolution
Panorama logging service 証明書の期限切れの問題を解決するには、プラグインを削除cloud_services panorama -certificate を削除し、証明書を再取得します。
Panoramaコマンドラインから:
>要求プラグインcloud_services panorama -証明書削除
パス *
このドキュメントに従って Panorama OTP 、次のステップ
https://docs.paloaltonetworks.com/ / cortex cortex cortex -data-lake/ -data-lake-get-started-started-from-data-lake/devices-from-get-started-get-from-get-from-.html#idb113a7c9-f237-44bf で使用するために生成 cortex します。 -a288-c08e36e667d1_ide48cfb5e-0323-4119-99dd-793a255035ef
>要求プラグイン panorama OTP OTP cloud_services-ドキュメントに従って取得された証明書フェッチ>
Panorama 検証:コマンドラインから:
>プラグインを表示clouds_service panorama -証明書のステータスを表示する----->新 logging service しい日付がエラーなしで表示されます。
証明書から Firewall CLI 取得し、
要求ログ サービス転送証明書フェッチ>証明書を再取得する fetch
は、ログ サービス証明書にエラーがないことを示します。 firewall[今]は良好な状態で表示され、 に接続 CDL します。
注: Panorama が HA に入っている場合、 logging service 証明書はパッシブで再フェッチ panorama する必要があります。