User-ID エージェントのアップグレード後、ファイアウォールがエージェントから切断されます。

• User-ID エージェントの更新後に User-ID エージェントとファイアウォールが切断される
• 管理 pcap が取得されると、ファイアウォールが SSL ハンドシェイク中に Unknown CA を示すリセットを送信していることがわかります。

[ Info 1305]: New connection 172.16.206.1 : 40983.
[ Info 1378]: Device thread 1 with 172.16.206.1 : 40983 is started.
[Error 3499]: Failed to validate client certificate, thread : 1, 1-0!
[ Info 1701]: Connection 172.16.206.1 : 40983 closed.

[distributord] Received certificate with issuer = '/C=US/ST=California/L=Santa Clara/O=Palo Alto Networks/OU=Engineering/CN=User-ID Agent 1'
[distributord] Received certificate with subject = '/C=US/ST=California/L=Santa Clara/O=Palo Alto Networks/OU=Engineering/CN=User-ID Agent 1'
[distributord] Loading default uia trust cert in store
Error:  pan_distributor_agent_verify_cert_cb(pan_distributor_agent.c:1816): X509_verify_cert returned error 18, error = 'self signed certificate'
[distributord] Returning FAILURE from pan_user_id_uia_verify_cert_cb
Error:  pan_dcom_ssl_connect(pan_dcom_ssl.c:331): conn user: SSL_connect return -1
Error:  pan_dcom_ssl_connect(pan_dcom_ssl.c:332): SSL :error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed 

• パケットキャプチャは次のようになります。

• パロアルトのファイアウォール
• PAN-OSに対応しました。
• User-ID Agent バージョン 10.2.2
• プリズマアクセス

1. アドバイザリに従って、ファイアウォールをホットフィックスバージョンにアップグレードします。
2. ファイアウォールがアップグレードされたら、User-id Agent をアップグレードします。
3. 最初にファイアウォールをホットフィックスバージョンにアップグレードすると、古い証明書と新しい証明書の両方が含まれるため、問題を回避できます。
4. Prisma Accessの場合は、古い証明書をまだ使用しているユーザーIDエージェント9.0.6バージョンを使用します。 (UaInstall-9.0.6-101.msi)Prisma Accessがアップグレードされ、新しい証明書を使用するまで。