entrée de journal « le certificat a expiré » dans une machine virtuelle PA (expiration du certificat 2024).

entrée de journal « le certificat a expiré » dans une machine virtuelle PA (expiration du certificat 2024).

10559
Created On 07/08/24 18:52 PM - Last Modified 08/14/24 01:42 AM


Symptom


Ce problème se manifeste de plusieurs façons :

  • Une machine virtuelle PA nouvellement amorcée ne s'enregistre pas sur votre Panorama, malgré la réception des licences et la preuve que ladite machine virtuelle PA tente de se connecter à votre Panorama.
  • Les PA-VM apparaissent comme étant déconnectées de votre Panorama, mais se reconnectent si, par exemple, useridd est redémarré sur votre pare-feu.
  • « device-certificate-status : None » dans la sortie de « show system info » lorsqu’il est exécuté sur votre PA-VM.
  Le fichier ms.log sur la PA-VM peut contenir des entrées telles que les suivantes : 
“Error:  pan_cmsa_tcp_channel_setup(src_panos/cms_agent.c:1614): cms sent untrusted cert!!”

“Error:  valid_cert(cs_client.c:17): commssl: Cert verify failed: error: 10 (certificate has expired)”

“Error:  pan_cmsa_tcp_channel_setup(src_panos/cms_agent.c:1344): cms agent: cs_load_certs_ex failed”

“Error:  cs_load_certs_ex(cs_common.c:544): keyfile not exists”

 

Environment


PA-VM :

  • Exécute une version de PAN-OS non répertoriée dans l’article LIVEcommunity sur l’expiration des certificats PAN-OS (ci-après dénommé l’article LIVEcommunity)
  • Possède une version de contenu dynamique qui n’est pas 8795-8489 (selon l’article LIVEcommunity) ou supérieure (cela peut être trouvé dans le champ « app-version » lors de l’exécution de « show system info » sur votre PA-VM).
  • Exécute à la fois une version PAN-OS répertoriée dans l’article LIVEcommunity et une version de contenu dynamique >= 8795-8489, mais n’a pas été redémarré.
  • S’affiche comme étant déconnecté sur votre Panorama.
  (Facultatif) Panorama:
  • Similaire à PA-VM.
  • Reportez-vous à l’article LIVEcommunity pour plus d’informations à jour.

Cause


Étant donné que la PA-VM peut ne pas disposer des mises à jour de version requises (comme indiqué dans l’article LIVEcommunity), il se peut qu’elle ne dispose pas d’un certificat de périphérique valide. Par conséquent, même s’il peut toujours être en mesure de se connecter au Panorama (et même d’obtenir des licences de celui-ci), il apparaîtra comme étant « déconnecté » sur le Panorama.

 Cet article fait partie de notre plan complet de gestion des certificats visant à atténuer l’expiration des certificats PAN-OS et par défaut de novembre/décembre 2023 (Khans, 2024) (Khans, 2024).

Resolution


 
  1. Utilisez des images PAN-OS disponibles sur la place de marché de votre fournisseur de services cloud :
  • Les versions de PAN-OS contenues dans ces images ne rencontrent pas le problème d’expiration de la racine et du certificat par défaut de PAN-OS.
  • Les images plus anciennes peuvent rencontrer ce problème.
  • Par exemple, sur Azure, les images suivantes sont disponibles sur la Place de marché dans la région USA Est (10.2.901 est en fait 10.2.9-h1 ; le « 0 » peut être considéré comme « -h ») :
 
  1. Si ce problème se produit sur une machine virtuelle PA existante :
  • Mettez à jour votre PA-VM vers l’une des versions de PAN-OS répertoriées dans l’article LIVEcommunity.
  • Mettez à jour votre contenu dynamique vers une version >= 8795-8489 (encore une fois, conformément à l’article de LIVEcommunity).
  • Redémarrez le pare-feu afin de permettre au nouveau contenu dynamique de prendre effet ; Un redémarrage de mgmtsrvr ne suffira pas.
 
  1. Si vous utilisez une image personnalisée pour amorcer votre PA-VM, vous devrez peut-être créer une nouvelle image :
  • L’idée est de créer une nouvelle image en suivant la documentation correspondante pour la création d’une image personnalisée sur votre fournisseur de services cloud, mais avec quelques étapes supplémentaires.
  • Ces étapes supplémentaires ne sont que les étapes énumérées au point 2 (« Si ce problème se produit sur une PA-VM existante » ; juste au-dessus de ce point ; ci-après dénommées « étapes supplémentaires ») sur la PA-VM que vous utiliserez pour créer votre image.
  • Ces étapes supplémentaires doivent être effectuées avant de retirer la licence de la PA-VM.
  • par exemple, la création d’une image personnalisée (AMI) sur AWS (Palo Alto Networks, Inc., 2024):


Additional Information


 

Références

Khans. (2024, 01 26). Mise à jour d’urgence requise : racine PAN-OS et expiration du certificat par défaut. Palo Alto Networks LIVEcommunity. https://live.paloaltonetworks.com/t5/customer-advisories/emergency-update-required-pan-os-root-and-default-certificate/ta-p/564672

Khans. (2024, 04 11). Expirations supplémentaires des certificats PAN-OS et nouveau processus complet de gestion des certificats. Palo Alto Networks LIVEcommunity. https://live.paloaltonetworks.com/t5/customer-advisories/additional-pan-os-certificate-expirations-and-new-comprehensive/ta-p/572158

Palo Alto Networks, Inc. (2024, 05 31). Créez une Amazon Machine Image (AMI) personnalisée. Palo Alto Networks TechDocs. https://docs.paloaltonetworks.com/vm-series/11-1/vm-series-deployment/set-up-the-vm-series-firewall-on-aws/deploy-the-vm-series-firewall-on-aws/create-custom-ami
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000TowBCAS&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language