¿Por qué los registros no se reenvían a Strata Cloud Manager después de habilitar el anuncio de ruta valor predeterminado en las conexiones de servicio?

¿Por qué los registros no se reenvían a Strata Cloud Manager después de habilitar el anuncio de ruta valor predeterminado en las conexiones de servicio?

2166
Created On 12/13/24 12:57 PM - Last Modified 10/16/25 23:53 PM


Symptom


Lo siguiente se registra en logrcvr.log

2024-11-28 13:43:12.227 -0500 Error:  pan_mgmt_secure_conn_ocsp_crl_check(pan_sec_conn_client.c:273): [Secure conn cert verify stage] cert[CN: *.lcaas.prod.ca1.cs.paloaltonetworks.com] revoked, not valid!
2024-11-28 13:43:12.227 -0500 Error:  pan_sec_conn_client_validation_impl(pan_sec_conn_client.c:465): [Secure conn] Failed to verify OCSP/CRL for the certificate.
2024-11-28 13:43:12.227 -0500 Error:  pan_mgmt_peer_validation(pan_sec_conn_client.c:839): Peer validation for server[34.95.13.92] failed
2024-11-28 13:43:12.227 -0500 Error:  pan_conn_mgr_do_connect(cs_conn.c:12959): Untrusted LCaaS cert detected, Error connecting to LCaaS

Además, la salida del comando siguiente muestra una falla de SSL .

> solicitud estado de reenvío del recopilador de registros

SSL :
msg : SSL connect retry. sslerr=2
status : failure
timestamp : 2024/11/28 13:43:12




              
Environment

Acceso Prisma



              
Cause

Al anunciar la ruta valor predeterminado del SC en Prisma se provoca la creación de un segundo virtual router (enrutador virtual - VR) llamado VR1.


Esto luego provoca el movimiento de la interfaz loopback.1 al nuevo virtual router (enrutador virtual - VR).




Los nodos Prisma utilizan una ruta de servicio sobre loopback.1 para la validación de OCSP/ CRL


crl-status {
                source {
                  address <address ommited>;
                  interface loopback.1;


 


Como resultado, este tráfico ahora se reenvía a los SC y, eventualmente, a un cortafuegos local y no a Internet a través de Ethernet1/1.


Si este tráfico no está específicamente permitido, se interrumpe la comunicación con el servidor OCSP/ CRL y, como resultado, no es posible establecer un túnel SSL con el servidor de registro.



              
Resolution

Para solucionar esto, desde SCM > Flujos de trabajo > Configuración de Prisma Access > Conexiones de servicio > Configuración avanzada, habilitamos Enviar tráfico CRL/ OCSP a Internet directamente.




Desde Panorama > Servicios en la nube > Configuración > Dirección de tráfico






        
       
      





      

        
        
        

    

    

    

      

        
Other users also viewed:

        

             

               
              

        

    

        

        
        

          
Actions

          
    
           
            
            
            
  • 
                Print
            
    • 
            
  • 
            
    • 
            
  • 
              Copy Link
                
                
    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HEdhCAG&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail
    
            
    • 
          

        
 

        

         
        

          

            
Choose Language