Nach dem Upgrade des User-ID-Agenten wird die Firewall vom Agent getrennt.

• User-ID-Agent und Firewall sind nach dem Aktualisieren des User-ID-Agenten getrennt
• Wenn Management pcap verwendet wird, kann es gesehen werden, dass die Firewall während des SSL-Handshakes zurückgesetzt wird und Unknown CA angibt.

[ Info 1305]: New connection 172.16.206.1 : 40983.
[ Info 1378]: Device thread 1 with 172.16.206.1 : 40983 is started.
[Error 3499]: Failed to validate client certificate, thread : 1, 1-0!
[ Info 1701]: Connection 172.16.206.1 : 40983 closed.

[distributord] Received certificate with issuer = '/C=US/ST=California/L=Santa Clara/O=Palo Alto Networks/OU=Engineering/CN=User-ID Agent 1'
[distributord] Received certificate with subject = '/C=US/ST=California/L=Santa Clara/O=Palo Alto Networks/OU=Engineering/CN=User-ID Agent 1'
[distributord] Loading default uia trust cert in store
Error:  pan_distributor_agent_verify_cert_cb(pan_distributor_agent.c:1816): X509_verify_cert returned error 18, error = 'self signed certificate'
[distributord] Returning FAILURE from pan_user_id_uia_verify_cert_cb
Error:  pan_dcom_ssl_connect(pan_dcom_ssl.c:331): conn user: SSL_connect return -1
Error:  pan_dcom_ssl_connect(pan_dcom_ssl.c:332): SSL :error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed 

• Die Paketerfassung würde wie folgt aussehen:

• Palo Alto Firewalls
• Unterstütztes PAN-OS.
• User-ID-Agent Version 10.2.2
• Prisma-Zugang

1. Aktualisieren Sie die Firewalls auf die Hotfix-Version gemäß der Empfehlung.
2. Sobald die Firewall aktualisiert wurde, aktualisieren Sie den User-ID-Agenten.
3. Wenn Sie die Firewall zuerst auf die Hotfix-Version aktualisieren, verfügt sie sowohl über ein altes als auch über ein neues Zertifikat, wodurch das Problem vermieden wird.
4. Verwenden Sie für Prisma Access die Version 9.0.6 des User-ID-Agenten, die immer noch das alte Zertifikat verwendet. (UaInstall-9.0.6-101.msi) bis der Prisma Access aktualisiert wird, um die neuen Zertifikate zu verwenden.