Palo Alto 防火墙和 Panorama 之间的安全通信证书将在 3 个月后到期
5451
Created On 05/17/24 03:20 AM - Last Modified 07/11/25 19:58 PM
Question
使用 身份验证密钥 成功将 Palo Alto 防火墙加入 Panorama 后,可以看到安全通信证书的有效期仅为 3 个月。
3 个月后会断开连接吗?
全景>显示已连接
的设备串行主机名 IPv4 IPv6 已连接
--------------------------------------------------------------------------
969856780331 PA-820 1.2.3.4 未知 是
野火 实时流 禁用 VPN 禁用模式:否
操作模式:正常
HA 集群状态:集群未知
证书状态:
证书使用者名称:2dd89c4a-54c2-43cb-869e-2dd89c4aafe
证书到期时间:2024/08/05 08:12:14 <-- 证书有效期为3个月
连接时间:2024/05/04 17:12:45
自定义证书使用时间:否
虚拟系统:
vsys1(vsys1) 共享策略 md5sum:()
共享策略版本:
上次主密钥推送状态:未知
上次主密钥推送时间戳:无
快速模式:无
设备证书存在:无
设备证书到期日期 : N/A
连接设备总数:1
Environment
PANOS-10.1型
Answer
安全通信证书的有效期为 3 个月。
在到期前 2 周,防火墙将创建一个新的 CSR,并将其发送到 Panorama 进行签名,从而续订证书。
示例防火墙日志 (configd.log):
2024-07-20 04:02:02.025 +0530 SC3:证书更改通知 (0->1)
2024-07-20 04:02:02.512 +0530 警告:_cex_panos(sc3_utils.c:436):SC3:设备 CSR 设置为“7a2f80b3-5706-4a4f-1234-e71b1b128baf”
2024-07-20 04:02:02.954 +0530 SC3:设备:“969856780331”将使用 SNI:“888d715d-1234-4e1b-aa54-1serf3e72ccae”
2024-07-20 04:02:02.955 +0530 警告:sc3_processCerts(sc3_register.c:611):SC3:清除 CC
2024-07-20 04:02:03.112 +0530 SC3:使用新设备证书:“7a2f80b3-5706-4a4f-1234-e71b1b128baf”