Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Después de actualizar el agente de ID de usuario, el firewall s... - Knowledge Base - Palo Alto Networks

Después de actualizar el agente de ID de usuario, el firewall se desconecta del agente.

14753
Created On 02/01/24 11:20 AM - Last Modified 10/21/24 10:25 AM


Symptom


  • El agente de identificación de usuario y el firewall se desconectan después de la actualización Agente de identificación de usuario
  • Si se toma el pcap de administración, se puede ver que el firewall que envía se restablece durante el protocolo de enlace ssl que indica CA desconocida.
[ Info 1305]: New connection 172.16.206.1 : 40983.
[ Info 1378]: Device thread 1 with 172.16.206.1 : 40983 is started.
[Error 3499]: Failed to validate client certificate, thread : 1, 1-0!
[ Info 1701]: Connection 172.16.206.1 : 40983 closed.
Registro distribuido (menos mp-log distributord.log):
[distributord] Received certificate with issuer = '/C=US/ST=California/L=Santa Clara/O=Palo Alto Networks/OU=Engineering/CN=User-ID Agent 1'
[distributord] Received certificate with subject = '/C=US/ST=California/L=Santa Clara/O=Palo Alto Networks/OU=Engineering/CN=User-ID Agent 1'
[distributord] Loading default uia trust cert in store
Error:  pan_distributor_agent_verify_cert_cb(pan_distributor_agent.c:1816): X509_verify_cert returned error 18, error = 'self signed certificate'
[distributord] Returning FAILURE from pan_user_id_uia_verify_cert_cb
Error:  pan_dcom_ssl_connect(pan_dcom_ssl.c:331): conn user: SSL_connect return -1
Error:  pan_dcom_ssl_connect(pan_dcom_ssl.c:332): SSL :error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
  • La captura de paquetes se vería así:
Image.png
 
 

Environment


  • Palo Alto Firewalls
  • Compatible con PAN-OS.
  • Agente de ID de usuario versión 10.2.2
  • Acceso Prisma

Cause


Agente de ID de usuario que usa un certificado nuevo, pero el firewall solo tiene un certificado antiguo, lo que provoca un error de verificación.

Resolution


  1. Actualice los firewalls a la versión de revisión según el aviso.
  2. Una vez actualizado el cortafuegos, actualice el agente de identificación de usuario.
  3. Al actualizar el firewall primero a la versión de revisión, tendrá tanto el certificado antiguo como el nuevo, lo que evitará el problema.
  4. Para Prisma Access, use la versión 9.0.6 del agente de ID de usuario que todavía usa el certificado anterior. (UaInstall-9.0.6-101.msi) hasta que Prisma Access se actualice para usar los nuevos certificados.

Additional Information


El antiguo agente de ID de usuario usaba el certificado antiguo:



El nuevo agente de ID de usuario comenzó a usar el nuevo certificado:


16 Feb 24 (Vijay) - Artículo actualizado con Prathyusha y publicado externo.
Other users also viewed:
Updating results
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000XhhvCAC&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language