Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
El estado de supervisión del servidor mediante WinRM-HTTPS mues... - Knowledge Base - Palo Alto Networks

El estado de supervisión del servidor mediante WinRM-HTTPS muestra "Conexión rechazada (0)" después de la renovación del certificado de servidor.

15297
Created On 07/28/23 21:40 PM - Last Modified 03/24/25 15:25 PM


Symptom


  • Después de renovar el certificado de servidor, la supervisión del servidor mediante el estado WinRM-HTTPS muestra "Conexión rechazada (0)".
GUI: Identificación de usuario de > dispositivo > asignación de usuarios > supervisión de servidor
Image.png
 
  • Los registros de Userid (menos mp-log useridd.log) informan del error "Error de conexión. código de respuesta = 0,".
Error:  pan_user_id_winrm_verify_cert_cb(pan_user_id_win.c:2814): Unable to get basic constraints
Error:  pan_user_id_winrm_verify_cert_cb(pan_user_id_win.c:2873): X509_verify_cert returned error 20, error = 'unable to get local issuer certificate'
Error:  pan_user_id_winrm_query(pan_user_id_win.c:2654): failed to connect to winrm server server.pantac.local.lab in vsys 1
Error:  pan_user_id_winrm_query(pan_user_id_win.c:2698): Connection failed. response code = 0, error: Peer certificate cannot be authenticated with given CA certificates in vsys 1, server=server.pantac.local.lab.


Environment


  • Palo Alto Firewalls
  • PAN-OS 9.1.16
  • Renovación del certificado de servidor utilizado para el ID de usuario WinRM-HTTPS.
  • Controlador de dominio que se supervisa mediante WinRM-HTTPS como método de transporte.

Cause


  • Después de renovar el certificado de servidor, la huella digital del certificado no se actualizó en el servidor.
  • El servicio WinRM no pudo validar el certificado.

Resolution


Para resolverlo, actualice la huella digital del nuevo certificado en el servidor. Los pasos se enumeran a continuación.
  1. Elimine el agente de escucha de WinRM que ya se está ejecutando con la configuración Address=* y Transport=HTTPS, escriba el siguiente comando:
c:>winrm delete winrm/config/Listener?Address=*+Transport=HTTPS
  1. Cree un nuevo agente de escucha de WinrRM con la configuración Address=* y Transport=HTTPS con la huella digital del nuevo certificado de servidor, escriba el siguiente comando:
c:>winrm create winrm/config/Listener?Address=*+Transport=HTTPS @{Hostname=”<hostname>";CertificateThumbprint=”Certificate Thumbprint"}
  • "hostname" es el nombre de host del servidor Windows
  • "Huella digital del certificado" es el valor que copió del nuevo certificado de servidor.

Nota: Quite los espacios de la huella digital del certificado para asegurarse de que WinRM puede validar el certificado.

  1. Para comprobar que WinRM se comunica mediante HTTPS y confirmar que el resultado muestra Transport = HTTPS, escriba el siguiente comando:
c:>winrm enumerate winrm/config/listener

 

Nota: Asegúrese de haber importado correctamente el certificado raíz de los certificados de servicio que el servidor Windows usa para WinRM en el firewall y asocie el certificado con el perfil de certificado de identificador de usuario.

GUI: Identificación de usuario > dispositivo > asignación de usuarios > supervisión del servidor:

Image.png

Additional Information
Other users also viewed:
How to download GlobalProtect from the Customer Support Portal
Download and Install the GlobalProtect App for Windows
Resource List: GlobalProtect Configuring and Troubleshooting
PAN-OS Software Updates
Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)
Results 1-5 of 194,023
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000g1y0CAA&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language