PA-VM の「証明書の有効期限が切れました」ログ エントリ (2024 証明書の有効期限)。

この問題は、複数の方法で発生します。

• 新しくブートストラップされたPA-VMは、ライセンスを受け取っていても、そのPA-VMがPanoramaに接続しようとしている証拠があるにもかかわらず、Panoramaに登録されません。
• PA-VMはパノラマから切断されているように見えますが、たとえばファイアウォールでuseriddが再起動された場合は再度接続します。
• PA-VMで実行すると、「show system info」の出力に「device-certificate-status: None」が表示されます。

“Error:  pan_cmsa_tcp_channel_setup(src_panos/cms_agent.c:1614): cms sent untrusted cert!!”

“Error:  valid_cert(cs_client.c:17): commssl: Cert verify failed: error: 10 (certificate has expired)”

“Error:  pan_cmsa_tcp_channel_setup(src_panos/cms_agent.c:1344): cms agent: cs_load_certs_ex failed”

“Error:  cs_load_certs_ex(cs_common.c:544): keyfile not exists”

PA-VMの

• PAN-OS 証明書の有効期限 LIVEcommunity の記事 (以下、LIVEcommunity の記事) に記載されていない PAN-OS バージョンを実行している
• 8795-8489(LIVEcommunityの記事による)以上ではない動的コンテンツバージョンがあります(これは、PA-VMで「show system info」を実行する際の「app-version」フィールドにあります)。
• LIVEcommunity の記事に記載されている PAN-OS バージョンと、動的コンテンツ バージョン >= 8795-8489 の両方を実行しますが、再起動されていません。
• パノラマで切断されていると表示されます。

• PA-VMに似ています。
• 最新情報については、LIVEcommunityの記事を参照してください。

PA-VM には必要なバージョン更新がない可能性があるため (LIVEcommunity の記事を参照)、有効なデバイス証明書がない可能性があります。 その結果、パノラマと接続できる(さらにはライセンスを取得できる)場合でも、パノラマでは「切断」と表示されます。

 この記事は、2023 年 11 月 / 12 月の PAN-OS ルートおよびデフォルトの証明書の有効期限 (Khans, 2024) (Khans, 2024) を緩和するための包括的な証明書管理計画の一部です。

1. Cloud Service Provider の Marketplace で入手できる PAN-OS イメージを使用します。

• これらのイメージに含まれる PAN-OS バージョンでは、PAN-OS ルートと既定の証明書の有効期限の問題は発生しません。
• 古いイメージでは、この問題が発生する可能性があります。
• たとえば、Azure では、次のイメージが米国東部リージョンの Marketplace で入手できます (10.2.901 は実際には 10.2.9-h1 であり、"0" は "-h" と見なすことができます)。

2. この問題が既存のPA-VMで発生する場合:

• PA-VM を LIVEcommunity の記事に記載されている PAN-OS バージョンのいずれかに更新します。
• 動的コンテンツを >= 8795-8489 のバージョンに更新します (これも LIVEcommunity の記事に沿っています)。
• ファイアウォールを再起動して、新しい動的コンテンツを有効にします。MGMTSRVR の再始動では不十分です。

3. カスタムイメージを使用してPA-VMをブートストラップしている場合は、新しいイメージを作成する必要がある場合があります。

• アイデアは、クラウドサービスプロバイダーでカスタムイメージを作成するためのそれぞれのドキュメントに従って新しいイメージを作成することですが、いくつかの追加の手順が必要です。
• 上記の追加手順は、イメージの作成に使用する PA-VM 上のポイント 2 (「既存の PA-VM でこの問題が発生した場合」、このポイントのすぐ上、以下「追加手順」と呼びます) に記載されている手順にすぎません。
• これらの追加手順は、PA-VM のライセンスを解除する前に実行する必要があります。
• 例:AWSでカスタムイメージ(AMI)を作成する(Palo Alto Networks, Inc., 2024):
  • 手順を説明するドキュメントは次のとおりです https://docs.paloaltonetworks.com/vm-series/11-1/vm-series-deployment/set-up-the-vm-series-firewall-on-aws/deploy-the-vm-series-firewall-on-aws/create-custom-ami
  • この場合、ドキュメントのステップ 3 で追加の手順を実行します (つまり、PA-VM のライセンス解除を含むステップ 4 の前)。

参照

カーン。 (2024, 01 26). 緊急更新が必要 - PAN-OS ルートとデフォルトの証明書の有効期限。 パロアルトネットワークスのLIVEコミュニティ。https://live.paloaltonetworks.com/t5/customer-advisories/emergency-update-required-pan-os-root-and-default-certificate/ta-p/564672

カーン。 (2024, 04 11). PAN-OS 証明書の有効期限の追加と、新しい包括的な証明書管理プロセス。 パロアルトネットワークスのLIVEコミュニティ。https://live.paloaltonetworks.com/t5/customer-advisories/additional-pan-os-certificate-expirations-and-new-comprehensive/ta-p/572158

パロアルトネットワークス (2024, 05 31). カスタム Amazon マシンイメージ (AMI) を作成します。 パロアルトネットワークスのTechDocs。https://docs.paloaltonetworks.com/vm-series/11-1/vm-series-deployment/set-up-the-vm-series-firewall-on-aws/deploy-the-vm-series-firewall-on-aws/create-custom-ami