Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Après la mise à niveau de l’agent User-id, le pare-feu est déco... - Knowledge Base - Palo Alto Networks

Après la mise à niveau de l’agent User-id, le pare-feu est déconnecté de l’agent.

14753
Created On 02/01/24 11:20 AM - Last Modified 10/21/24 10:25 AM


Symptom


  • L’agent d’identification de l’utilisateur et le pare-feu sont déconnectés après la mise à jour de l’agent d’identification de l’utilisateur
  • Si le pcap de gestion est pris, on peut voir que le pare-feu envoie une réinitialisation lors de l’établissement de liaison SSL indiquant Autorité de certification inconnue.
[ Info 1305]: New connection 172.16.206.1 : 40983.
[ Info 1378]: Device thread 1 with 172.16.206.1 : 40983 is started.
[Error 3499]: Failed to validate client certificate, thread : 1, 1-0!
[ Info 1701]: Connection 172.16.206.1 : 40983 closed.
Journal de distribution (moins mp-log distributord.log) :
[distributord] Received certificate with issuer = '/C=US/ST=California/L=Santa Clara/O=Palo Alto Networks/OU=Engineering/CN=User-ID Agent 1'
[distributord] Received certificate with subject = '/C=US/ST=California/L=Santa Clara/O=Palo Alto Networks/OU=Engineering/CN=User-ID Agent 1'
[distributord] Loading default uia trust cert in store
Error:  pan_distributor_agent_verify_cert_cb(pan_distributor_agent.c:1816): X509_verify_cert returned error 18, error = 'self signed certificate'
[distributord] Returning FAILURE from pan_user_id_uia_verify_cert_cb
Error:  pan_dcom_ssl_connect(pan_dcom_ssl.c:331): conn user: SSL_connect return -1
Error:  pan_dcom_ssl_connect(pan_dcom_ssl.c:332): SSL :error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
  • La capture de paquets ressemblerait à ceci :
image.png
 
 

Environment


  • Pare-feu Palo Alto
  • PAN-OS pris en charge.
  • User-ID Agent version 10.2.2
  • Accès Prisma

Cause


L’agent d’ID utilisateur utilise un nouveau certificat, mais le pare-feu n’a qu’un ancien certificat, ce qui entraîne l’échec de la vérification.

Resolution


  1. Mettez à niveau les pare-feu vers la version correctif conformément à l’avis.
  2. Une fois le pare-feu mis à niveau, mettez à niveau l’agent d’identification utilisateur.
  3. En mettant d’abord à niveau le pare-feu vers la version du correctif, il disposera à la fois de l’ancien certificat et du nouveau certificat, ce qui évitera le problème.
  4. Pour Prisma Access, utilisez la version 9.0.6 de l’agent d’ID utilisateur qui utilise toujours l’ancien certificat. (UaInstall-9.0.6-101.msi) jusqu’à ce que Prisma Access soit mis à niveau pour utiliser les nouveaux certificats.

Additional Information


L’ancien agent Userid utilisait l’ancien cert :



Le nouvel agent Userid a commencé à utiliser le nouveau cert :


16 Feb 24 (Vijay) - Article mis à jour avec Prathyusha et publié en externe.
Other users also viewed:
Updating results
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000XhhvCAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language