Protokolleintrag "Zertifikat ist abgelaufen" in einer PA-VM (Ablauf des Zertifikats 2024).

10559

Created On 07/08/24 18:52 PM - Last Modified 08/14/24 01:42 AM

Symptom

Es gibt mehrere Möglichkeiten, wie sich dieses Problem manifestiert:

Eine neu gebootstrappte PA-VM registriert sich nicht bei Ihrem Panorama, obwohl sie Lizenzen erhalten hat und obwohl es Hinweise darauf gibt, dass diese PA-VM versucht hat, eine Verbindung zu Ihrem Panorama herzustellen.
PA-VMs werden als von Ihrem Panorama getrennt angezeigt, verbinden sich jedoch wieder, wenn z. B. useridd auf Ihrer Firewall neu gestartet wird.
"device-certificate-status: None" in der Ausgabe von "show system info", wenn es auf Ihrer PA-VM ausgeführt wird.

Die ms.log Datei auf der PA-VM kann Einträge wie die folgenden enthalten:

“Error:  pan_cmsa_tcp_channel_setup(src_panos/cms_agent.c:1614): cms sent untrusted cert!!”

“Error:  valid_cert(cs_client.c:17): commssl: Cert verify failed: error: 10 (certificate has expired)”

“Error:  pan_cmsa_tcp_channel_setup(src_panos/cms_agent.c:1344): cms agent: cs_load_certs_ex failed”

“Error:  cs_load_certs_ex(cs_common.c:544): keyfile not exists”

Environment

PA-VM:

Führt eine PAN-OS-Version aus, die nicht im LIVEcommunity-Artikel PAN-OS-Zertifikatsablauf aufgeführt ist (im Folgenden als LIVEcommunity-Artikel bezeichnet)
Verfügt über eine dynamische Inhaltsversion, die nicht 8795-8489 (gemäß dem LIVEcommunity-Artikel) oder höher ist (diese finden Sie im Feld "App-Version", wenn Sie "Systeminformationen anzeigen" auf Ihrer PA-VM ausführen).
Führt sowohl eine PAN-OS-Version aus, die im LIVEcommunity-Artikel aufgeführt ist, als auch eine dynamische Inhaltsversion >= 8795-8489, wurde aber nicht neu gestartet.
Wird in Ihrem Panorama als getrennt angezeigt.

(Fakultativ) Panorama:

Ähnlich wie PA-VM.
Weitere aktuelle Informationen finden Sie im LIVEcommunity-Artikel.

Cause

Da die PA-VM möglicherweise nicht über die erforderlichen Versionsupdates verfügt (wie im LIVEcommunity-Artikel erwähnt), verfügt sie möglicherweise nicht über ein gültiges Gerätezertifikat. Infolgedessen kann es zwar weiterhin eine Verbindung zum Panorama herstellen (und sogar Lizenzen von ihm erhalten), aber es wird im Panorama als "getrennt" angezeigt.

Dieser Artikel ist Teil unseres umfassenden Zertifikatsverwaltungsplans zur Abmilderung des Ablaufs von PAN-OS-Stamm- und Standardzertifikaten im November/Dezember 2023 (Khans, 2024) (Khans, 2024).

Resolution

Verwenden Sie PAN-OS-Images, die auf dem Marketplace Ihres Cloud-Dienstanbieters verfügbar sind:

Die in diesen Images enthaltenen PAN-OS-Versionen stoßen nicht auf das Problem des PAN-OS-Stamm- und Standardzertifikatablaufs.
Bei älteren Bildern kann dieses Problem auftreten.
In Azure sind z. B. die folgenden Bilder im Marketplace in der Region "USA, Osten" verfügbar (10.2.901 ist eigentlich 10.2.9-h1; die "0" kann als "-h" betrachtet werden):

Wenn dieses Problem auf einer vorhandenen PA-VM auftritt:

Aktualisieren Sie Ihre PA-VM auf eine der PAN-OS-Versionen, die im LIVEcommunity-Artikel aufgeführt sind.
Aktualisieren Sie Ihre dynamischen Inhalte auf eine Version, die >= 8795-8489 ist (wiederum in Übereinstimmung mit dem LIVEcommunity-Artikel).
Starten Sie die Firewall neu, damit der neue dynamische Inhalt wirksam wird. Ein Neustart des MGMTSRVR reicht nicht aus.

Wenn Sie ein benutzerdefiniertes Image verwenden, um Ihre PA-VM zu bootstrappen, müssen Sie möglicherweise ein neues Image erstellen:

Die Idee ist, ein neues Image zu erstellen, indem Sie die entsprechende Dokumentation zum Erstellen eines benutzerdefinierten Images bei Ihrem Clouddienstanbieter befolgen, jedoch mit einigen zusätzlichen Schritten.
Bei diesen zusätzlichen Schritten handelt es sich nur um die Schritte, die unter Punkt 2 ("Wenn dieses Problem auf einer vorhandenen PA-VM auftritt"; direkt über diesem Punkt; im Folgenden als "zusätzliche Schritte" bezeichnet) auf der PA-VM aufgeführt sind, die Sie zum Erstellen Ihres Images verwenden werden.
Diese zusätzlichen Schritte sollten vor dem Delizenzieren der PA-VM ausgeführt werden.
z. B. das Erstellen eines benutzerdefinierten Images (AMI) auf AWS (Palo Alto Networks, Inc., 2024):
- Die Dokumentation, in der die Schritte beschrieben werden, lautet: https://docs.paloaltonetworks.com/vm-series/11-1/vm-series-deployment/set-up-the-vm-series-firewall-on-aws/deploy-the-vm-series-firewall-on-aws/create-custom-ami
- In diesem Fall führen Sie die zusätzlichen Schritte in Schritt 3 des Dokuments aus (d. h. vor Schritt 4, der die Delizenzierung der PA-VM umfasst).

Additional Information

Verweise

Khans. (2024, 01 26). Notfallaktualisierung erforderlich – Ablauf des PAN-OS-Stammzertifikats und des Standardzertifikats. Palo Alto Networks LIVEcommunity. https://live.paloaltonetworks.com/t5/customer-advisories/emergency-update-required-pan-os-root-and-default-certificate/ta-p/564672

Khans. (2024, 04 11). Zusätzliche Ablaufzeiten von PAN-OS-Zertifikaten und ein neuer, umfassender Zertifikatsverwaltungsprozess. Palo Alto Networks LIVEcommunity. https://live.paloaltonetworks.com/t5/customer-advisories/additional-pan-os-certificate-expirations-and-new-comprehensive/ta-p/572158

Palo Alto Networks, Inc. (2024, 05 31). Erstellen Sie ein benutzerdefiniertes Amazon Machine Image (AMI). Palo Alto Networks TechDocs. https://docs.paloaltonetworks.com/vm-series/11-1/vm-series-deployment/set-up-the-vm-series-firewall-on-aws/deploy-the-vm-series-firewall-on-aws/create-custom-ami