PA-VM 中的“证书已过期”日志条目（2024 证书过期）。

此问题有多种表现形式：

• 新启动的 PA-VM 不会将自身注册到您的 Panorama，尽管已获得许可证，并且尽管有证据表明所述 PA-VM 试图连接到您的 Panorama。
• PA-VM 显示为已与 Panorama 断开连接，但如果在防火墙上重新启动 useridd，则会再次连接。
• 在 PA-VM 上运行时，“show system info”的输出中的“device-certificate-status： None”。

“Error:  pan_cmsa_tcp_channel_setup(src_panos/cms_agent.c:1614): cms sent untrusted cert!!”

“Error:  valid_cert(cs_client.c:17): commssl: Cert verify failed: error: 10 (certificate has expired)”

“Error:  pan_cmsa_tcp_channel_setup(src_panos/cms_agent.c:1344): cms agent: cs_load_certs_ex failed”

“Error:  cs_load_certs_ex(cs_common.c:544): keyfile not exists”

PA-VM：

• 运行 PAN-OS 证书过期 LIVEcommunity 文章（以下简称 LIVEcommunity 文章）中未列出的 PAN-OS 版本
• 动态内容版本不是 8795-8489（根据 LIVEcommunity 文章）或更高版本（在您的 PA-VM 上运行“显示系统信息”时，可以在“应用程序版本”字段中找到）。
• 运行 LIVEcommunity 文章中列出的 PAN-OS 版本，并且还具有动态内容版本 >= 8795-8489，但尚未重新启动。
• 在 Panorama 上显示为已断开连接。

• 类似于 PA-VM。
• 有关更多最新信息，请参阅 LIVEcommunity 文章。

由于 PA-VM 可能没有必要的版本更新（如 LIVEcommunity 文章中所述），因此它可能没有有效的设备证书。 因此，虽然它可能仍然能够与 Panorama 连接（甚至从中获得许可证），但它将在 Panorama 上显示为“断开连接”。

 本文是我们综合证书管理计划的一部分，旨在缓解 2023 年 11 月/12 月的 PAN-OS 根证书和默认证书过期 （Khans， 2024） （Khans， 2024）。

1. 使用云服务提供商市场上提供的 PAN-OS 映像：

• 这些映像中包含的 PAN-OS 版本不会遇到 PAN-OS 根证书和默认证书过期问题。
• 较旧的图像可能会遇到此问题。
• 例如，在 Azure 上，以下映像在“美国东部”区域的市场上可用（10.2.901 实际上是 10.2.9-h1;“0”可视为“-h”）：

2. 如果在现有 PA-VM 上出现此问题：

• 将您的 PA-VM 更新到 LIVEcommunity 文章中列出的 PAN-OS 版本之一。
• 将您的动态内容更新为 >= 8795-8489 的版本（同样，与 LIVEcommunity 文章一致）。
• 重新启动防火墙以使新的动态内容生效;重新启动 mgmtsrvr 是不够的。

3. 如果使用自定义映像来启动 PA-VM，则可能需要创建新映像：

• 这个想法是按照相应的文档创建新图像，以便在您的云服务提供商上创建自定义图像，但需要执行一些额外的步骤。
• 上述额外步骤只是第 2 点中列出的步骤（“如果此问题发生在现有的 PA-VM 上”;就在这一点之上;以下简称“额外步骤”），您将用于创建映像的 PA-VM。
• 在取消 PA-VM 的许可之前，应执行这些额外步骤。
• 例如，在 AWS （Palo Alto Networks， Inc.、 2024):
  • 描述这些步骤的文档如下： https://docs.paloaltonetworks.com/vm-series/11-1/vm-series-deployment/set-up-the-vm-series-firewall-on-aws/deploy-the-vm-series-firewall-on-aws/create-custom-ami
  • 在这种情况下，您将在文档的第 3 步（即在第 4 步之前，涉及取消 PA-VM 许可）执行额外的步骤。

引用

可汗。 (2024, 01 26). 需要紧急更新 - PAN-OS 根证书和默认证书过期。 Palo Alto Networks LIVE社区。https://live.paloaltonetworks.com/t5/customer-advisories/emergency-update-required-pan-os-root-and-default-certificate/ta-p/564672

可汗。 (2024, 04 11). 额外的 PAN-OS 证书过期和新的、全面的证书管理流程。 Palo Alto Networks LIVE社区。https://live.paloaltonetworks.com/t5/customer-advisories/additional-pan-os-certificate-expirations-and-new-comprehensive/ta-p/572158

帕洛阿尔托网络公司（2024,05 31）。 创建自定义 Amazon 系统映像 （AMI）。 Palo Alto Networks 技术文档。https://docs.paloaltonetworks.com/vm-series/11-1/vm-series-deployment/set-up-the-vm-series-firewall-on-aws/deploy-the-vm-series-firewall-on-aws/create-custom-ami