Panorama_managed firewall 无法 CDL- 连接到 CSR 证书错误
33198
Created On 01/19/21 23:27 PM - Last Modified 10/06/21 01:12 AM
Symptom
firewall管理者是 Panorama 。
Panorama运行 PAN-OS 9.0.9,并处于仅管理模式。 管理 firewall 代码(s)是 PAN-OS 9.0和8.1代码的混合体。
所有日志都发送到 CDL ,然后转发到syslog服务器。
Panorama_managed firewall 无法连接 CDL logging service ,并且 logging Service "状态"显示存在 CSR 证书错误。
从 Firewall 网络 UI :
Firewall 显示所有许可证都是最新的。
从 Firewall 命令行:
使用lcaas_agent日志验证是否存在与所观察到的表单 Web 相同的错误消息 UI :" CSR 签名错误到 Panorama :"错误发送 CSR 签名请求到 Panorama '状态':失败"
firewall 与云服务器没有连接问题:ping 到云 FQDN (见下面列出 FQDN 的)所有 ping 通过成功。
- firewall-prd1.us.cdl.paloaltonetworks.com TCP (3978)
- pcl-prd1.us.cdl.paloaltonetworks.com TCP (444)
- fei-prd1.us.cdl.paloaltonetworks.com ( TCP 端口 443)
- br-prd1.us.cdl.paloaltonetworks.com ( TCP 端口 443)
- lic.lc.prod.us.cs.paloaltonetworks.com ( TCP 端口 444)
如果打算修复logging_service请遵循此 疑难解答文档。
从 firewall 命令行
:"删除许可证"和"重新取取许可证"的命令都顺利,但是,当打算"删除 logging service 证书",然后"重新获取证书"时,"取证"的工作将失败。
>"请求日志记录-服务转发证书提取--->"提取**将创建作业 ID,作业将失败。
Environment
发行方案:
1: 所有许可证 (s) 都是最新的,有效期为
2: 删除和重新取取许可证没有问题
3: Firewall Panorama 并且有相同的 NTP 服务器和时钟同步
4: Ping firewall 从和 Panorama 到云服务 FQDN 都很好, 表明上游设备上没有阻止。
验证来自 Firewall :
>调试管理服务器 conn >
请求记录服务转发证书删除
>显示 NTP
> request logging-service-forwarding status -----which will show logging-service license as "yes", but no logging service customer info, nor is showing the logging service agent data.>请求记录服务转发状态
Logging Service 许可:是------------------> Firewall 记录许可证是良好的
Logging Service 转发启用:是
Logging Service 证书
信息:信息:错误发送 CSR 签名请求 Panorama -------------->错误消息
状态:失败
Logging Service 客户文件信息
:信息: Logging Service 许可证未提供。 ------------->没有客户数据
状态:故障
**没有 logging service 代理数据
验证 Panorama 从:
使用"插件云服务 logging service -服务状态"验证,看看 logging service 证书是否过期
*输出示例*
主要活动)>请求插件cloud_services记录服务状态
失败
{"@status":"失败","结果":"PODamericas":"消息":"无法连接到 API 网关。 (35,'错误:14094415: SSL 例程
:SSL3_READ_BYTES:sslv3警报证书过期","结果":"失败"}}
失败
Logging service 证书过期---------------------------->过期 logging service 证书消息
未能获取 FQDN 客户(卷曲失败)
故障
0c22ed23-456c-43ae-8e96-d314cd341ff5.in2-lc-prod-us.gpcloudservice.com e8870173-8fd2-4114-99d3-6f450fdfb093.api2-lc-prod-us.gpcloudservice.com:444
2021/01/19 15:01:07
美洲
从命令行进一步验证 Panorama
:Pings 到云服务器显示没有从 Panorama 云服务器到云服务器的连接问题。
>平主机 0c22ed23-456c-43ae-8e96-d314cd341ff5.in2-lc-prod-us.gpcloudservice.com
PING firewall -prd1.us.cdl.paloaltonetworks.com (34.69.208.173) 56 (84) 字节的数据。
64 字节从 34.69.208.173: icmp_seq=1 ttl=100 时间=69.3 ms
64 字节从 34.69.69.3 208.173: icmp_seq=2 ttl=100 时间=69.1 ms
64 字节从 34.69.208.173: icmp_seq=3 3 ttl=100 时间=69.1 ms
>ping 主机 e8870173-8fd2-4114-99d3-6f450fdfb093.api2-lc-prod-us.gpcloudservice.com
64 字节从 35.184.126.116: icmp_seq=1 ttl=100 时间=69.1
64 字节从 35.184.126.116: icmp_seq=1 ttl=100 时间=69.1 毫秒
Cause
firewall CDL Panorama_Managed因证书错误而无法连接 CSR 是由" Panorama logging service 证书过期"触发的。
Resolution
要解决 Panorama logging service 证书过期问题,请删除插件cloud_services panorama 证书并重新取回证书。
从 Panorama 命令行
:>请求插件 panorama cloud_services-证书删除
通行证
*按照此文档生成 Panorama OTP 用于下一步
cortex cortex https://docs.paloaltonetworks.com//-数据湖/ cortex 数据湖启动/启动与 cortex 数据湖/设备标签.html#idb113a7c9-f237-44bf-a288 -c08e36e667d1_ide48cfb5e-0323-4119-99dd-793a255035ef
>请求插件 panorama cloud_services-凭证提取 OTP OTP 以下文档获得>
验证:
从 Panorama 命令行
:>显示插件 panorama clouds_service-证书状态-----> logging service 现在将显示一个新的日期,没有错误。
从 Firewall CLI 和重新取取证书
>请求记录服务转发证书取
取取现在显示伐木服务证书没有错误。 firewall现在显示在良好的状态连接到 CDL 。
注意:如果 Panorama 在 HA , logging service 证书也需要被动地重新匹配 panorama