Entrada de registro "certificate has expired" en una PA-VM (caducidad de certificados de 2024).

Hay varias formas en que se manifiesta este problema:

• Una PA-VM recién arrancada no se registra en su Panorama, a pesar de recibir licencias y a pesar de la evidencia de que dicha PA-VM intenta conectarse a su Panorama.
• Las PA-VM aparecen como desconectadas de su Panorama, pero se conectan una vez más si, por ejemplo, useridd se reinicia en su Firewall.
• "device-certificate-status: None" en la salida de "show system info" cuando se ejecuta en su PA-VM.

“Error:  pan_cmsa_tcp_channel_setup(src_panos/cms_agent.c:1614): cms sent untrusted cert!!”

“Error:  valid_cert(cs_client.c:17): commssl: Cert verify failed: error: 10 (certificate has expired)”

“Error:  pan_cmsa_tcp_channel_setup(src_panos/cms_agent.c:1344): cms agent: cs_load_certs_ex failed”

“Error:  cs_load_certs_ex(cs_common.c:544): keyfile not exists”

PA-VM:

• Ejecuta una versión de PAN-OS que no aparece en el artículo LIVEcommunity Expiraciones de certificados de PAN-OS (en lo sucesivo, el artículo LIVEcommunity)
• Tiene una versión de contenido dinámico que no es 8795-8489 (según el artículo de LIVEcommunity) o superior (esto se puede encontrar en el campo "app-version" cuando se ejecuta "show system info" en su PA-VM).
• Ejecuta una versión de PAN-OS enumerada en el artículo de LIVEcommunity y también tiene una versión de contenido dinámico >= 8795-8489, pero no se ha reiniciado.
• Aparece como desconectado en la panorámica.

• Similar a PA-VM.
• Consulte el artículo de LIVEcommunity para obtener información más actualizada.

Dado que es posible que la PA-VM no tenga las actualizaciones de versión necesarias (como se indica en el artículo de LIVEcommunity), es posible que no tenga un certificado de dispositivo válido. Como resultado, si bien aún puede conectarse con el Panorama (e incluso obtener licencias de él), aparecerá como "desconectado" en el Panorama.

 Este artículo forma parte de nuestro plan integral de gestión de certificados para mitigar la caducidad de los certificados raíz y predeterminados de PAN-OS en noviembre/diciembre de 2023 (Khans, 2024) (Khans, 2024).

1. Utilice imágenes PAN-OS que estén disponibles en el Marketplace de su proveedor de servicios en la nube:

• Las versiones de PAN-OS contenidas en estas imágenes no se encuentran con el problema de caducidad de certificados predeterminados y raíz de PAN-OS.
• Es posible que las imágenes más antiguas se encuentren con este problema.
• Por ejemplo, en Azure, las siguientes imágenes están disponibles en Marketplace en la región Este de EE. UU. (10.2.901 es en realidad 10.2.9-h1; el "0" se puede considerar como "-h"):

2. Si este problema se produce en una PA-VM existente:

• Actualice su PA-VM a una de las versiones de PAN-OS enumeradas en el artículo de LIVEcommunity.
• Actualice su contenido dinámico a una versión que sea >= 8795-8489 (de nuevo, en línea con el artículo de LIVEcommunity).
• Reinicie el cortafuegos para permitir que el nuevo contenido dinámico surta efecto; Un reinicio de MGMTSRVR no será suficiente.

3. Si usa una imagen personalizada para arrancar la máquina virtual PA-VM, es posible que tenga que crear una nueva imagen:

• La idea es crear una nueva imagen siguiendo la documentación respectiva para crear una imagen personalizada en su proveedor de servicios en la nube, pero con algunos pasos adicionales.
• Dichos pasos adicionales son solo los pasos enumerados en el punto 2 ("Si este problema ocurre en una PA-VM existente"; justo encima de este punto; en lo sucesivo denominados "pasos adicionales") en la PA-VM que utilizará para crear su imagen.
• Estos pasos adicionales deben realizarse antes de anular la licencia de PA-VM.
• por ejemplo, la creación de una imagen personalizada (AMI) en AWS (Palo Alto Networks, Inc., 2024):
  • La documentación que describe los pasos es: https://docs.paloaltonetworks.com/vm-series/11-1/vm-series-deployment/set-up-the-vm-series-firewall-on-aws/deploy-the-vm-series-firewall-on-aws/create-custom-ami
  • En este caso, realizará los pasos adicionales durante el paso 3 del documento (es decir, antes del paso 4, que implica la anulación de la licencia de PA-VM).

Referencias

Khans. (2024, 01 26). Actualización de emergencia requerida: raíz de PAN-OS y caducidad del certificado predeterminado. Comunidad LIVEde Palo Alto Networks. https://live.paloaltonetworks.com/t5/customer-advisories/emergency-update-required-pan-os-root-and-default-certificate/ta-p/564672

Khans. (2024, 04 11). Caducidades de certificados PAN-OS adicionales y un nuevo y completo proceso de gestión de certificados. Comunidad LIVEde Palo Alto Networks. https://live.paloaltonetworks.com/t5/customer-advisories/additional-pan-os-certificate-expirations-and-new-comprehensive/ta-p/572158

Palo Alto Networks, Inc. (2024, 05 31). Cree una imagen de máquina de Amazon (AMI) personalizada. Palo Alto Networks TechDocs. https://docs.paloaltonetworks.com/vm-series/11-1/vm-series-deployment/set-up-the-vm-series-firewall-on-aws/deploy-the-vm-series-firewall-on-aws/create-custom-ami