Warum Protokolle nicht an Strata Cloud Manager weitergeleitet werden, nachdem die Standard(-) für Serviceverbindungen aktiviert wurde

Warum Protokolle nicht an Strata Cloud Manager weitergeleitet werden, nachdem die Standard(-) für Serviceverbindungen aktiviert wurde

1242
Created On 12/13/24 12:57 PM - Last Modified 10/16/25 23:53 PM


Symptom


Folgendes wird in logrcvr.log protokolliert

2024-11-28 13:43:12.227 -0500 Error:  pan_mgmt_secure_conn_ocsp_crl_check(pan_sec_conn_client.c:273): [Secure conn cert verify stage] cert[CN: *.lcaas.prod.ca1.cs.paloaltonetworks.com] revoked, not valid!
2024-11-28 13:43:12.227 -0500 Error:  pan_sec_conn_client_validation_impl(pan_sec_conn_client.c:465): [Secure conn] Failed to verify OCSP/CRL for the certificate.
2024-11-28 13:43:12.227 -0500 Error:  pan_mgmt_peer_validation(pan_sec_conn_client.c:839): Peer validation for server[34.95.13.92] failed
2024-11-28 13:43:12.227 -0500 Error:  pan_conn_mgr_do_connect(cs_conn.c:12959): Untrusted LCaaS cert detected, Error connecting to LCaaS

Auch die Ausgabe des folgenden Befehls zeigt einen SSL Fehler

> Status der Log-Collector-Weiterleitung anfordern/Anforderung

SSL :
msg : SSL connect retry. sslerr=2
status : failure
timestamp : 2024/11/28 13:43:12




              
Environment

Prisma-Zugang



              
Cause

weiterleiten die Bekanntgabe der Standard(-) vom SC in Prisma wird ein zweiter Virtual Router (virtueller Router, VR) namens VR1 erstellt.


Dies bewirkt dann die Verschiebung der Schnittstelle loopback.1 zum neuen Virtual Router (virtueller Router, VR).




Die Prisma-Knoten verwenden eine Dienstroute über Loopback.1 für die OCSP/ CRL -Validierung


crl-status {
                source {
                  address <address ommited>;
                  interface loopback.1;


 


Infolgedessen wird dieser Datenverkehr jetzt an die SCs und schließlich an eine Firewall vor Ort und nicht über Ethernet1/1 an das Internet weitergeleitet.


Wenn dieser Datenverkehr nicht ausdrücklich zugelassen wird, wird die Kommunikation mit dem OCSP/ CRL -Server unterbrochen, wodurch der Aufbau eines SSL- Tunnel mit dem Protokollierungsserver nicht möglich ist.



              
Resolution

Um dies zu umgehen, haben wir unter SCM > Workflows > Prisma Access Setup > Service Connections > Advanced Settings die Option Send CRL/ OCSP traffic to internet directly aktiviert.




Von Panorama > Cloud Services > Konfiguration > Verkehrssteuerung






        
       
      





      

        
        
        

    

    

    

      

        
Other users also viewed:

        

             

               
              

        

    

        

        
        

          
Actions

          
    
           
            
            
            
  • 
                Print
            
    • 
            
  • 
            
    • 
            
  • 
              Copy Link
                
                
    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HEdhCAG&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail
    
            
    • 
          

        
 

        

         
        

          

            
Choose Language