Pourquoi les journaux ne sont pas transmis à Strata Cloud Manager après l'activation de la publicité acheminer par défaut sur les connexions de service

Pourquoi les journaux ne sont pas transmis à Strata Cloud Manager après l'activation de la publicité acheminer par défaut sur les connexions de service

2152
Created On 12/13/24 12:57 PM - Last Modified 10/16/25 23:53 PM


Symptom


Ce qui suit est enregistré dans logrcvr.log

2024-11-28 13:43:12.227 -0500 Error:  pan_mgmt_secure_conn_ocsp_crl_check(pan_sec_conn_client.c:273): [Secure conn cert verify stage] cert[CN: *.lcaas.prod.ca1.cs.paloaltonetworks.com] revoked, not valid!
2024-11-28 13:43:12.227 -0500 Error:  pan_sec_conn_client_validation_impl(pan_sec_conn_client.c:465): [Secure conn] Failed to verify OCSP/CRL for the certificate.
2024-11-28 13:43:12.227 -0500 Error:  pan_mgmt_peer_validation(pan_sec_conn_client.c:839): Peer validation for server[34.95.13.92] failed
2024-11-28 13:43:12.227 -0500 Error:  pan_conn_mgr_do_connect(cs_conn.c:12959): Untrusted LCaaS cert detected, Error connecting to LCaaS

La sortie de la commande ci-dessous indique également un échec SSL

> requête de état de transfert du collecteur de journaux

SSL :
msg : SSL connect retry. sslerr=2
status : failure
timestamp : 2024/11/28 13:43:12




              
Environment

Accès Prisma



              
Cause

La publicité de la acheminer par défaut du SC dans Prisma provoque la création d'un deuxième Virtual Router (routeur virtuel - VR) appelé VR1.


Cela provoque alors le déplacement de interface loopback.1 vers le nouveau Virtual Router (routeur virtuel - VR).




Les nœuds Prisma utilisent une itinéraire de service via loopback.1 pour la validation OCSP/ CRL


crl-status {
                source {
                  address <address ommited>;
                  interface loopback.1;


 


En conséquence, ce trafic est désormais transmis aux SC et éventuellement à un pare-feu sur site et non à Internet via Ethernet1/1.


Si ce trafic n'est pas spécifiquement autorisé, il interrompt la communication avec le serveur OCSP/ CRL et, par conséquent, l'établissement tunnel SSL avec le serveur de journalisation n'est pas possible.



              
Resolution

Pour résoudre ce problème, depuis SCM > Workflows > Configuration de Prisma Access > Connexions de service > Paramètres avancés, nous avons activé Envoyer le trafic CRL/ OCSP directement vers Internet




Depuis Panorama > Services Cloud > Configuration > Pilotage du trafic






        
       
      





      

        
        
        

    

    

    

      

        
Other users also viewed:

        

             

               
              

        

    

        

        
        

          
Actions

          
    
           
            
            
            
  • 
                Print
            
    • 
            
  • 
            
    • 
            
  • 
              Copy Link
                
                
    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HEdhCAG&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail
    
            
    • 
          

        
 

        

         
        

          

            
Choose Language