Los firewalls no pueden obtener CDL el certificado con el error "Error al cargar el archivo suministrado por el JSON servidor"

Los firewalls no pueden obtener CDL el certificado con el error "Error al cargar el archivo suministrado por el JSON servidor"

13518
Created On 10/15/22 12:14 PM - Last Modified 03/24/23 07:29 AM


Symptom


  • Los firewalls de Palo Alto Strata son administrados por Panorama CDL ( Data lake) (Cortex Formerly Logging service) License.
  • Los cortafuegos no pueden obtener el certificado necesario para conectarse y enviar registros a CDL.
  • El logging service estado muestra los siguientes errores.
    admin@PA-fw> request logging-service-forwarding status

Logging Service Certificate information:
Info: Error sending CSR signing request to Panorama
Not Valid after: 2022-10-21 00:00:21
Not Valid before: 2022-07-23 00:00:21
Status: failure
Last fetched: Tue Oct 11 17:04:53 2022


Logging Service Customer file information:
Info: Failed to validate server certificate for endpoint api.paloaltonetworks.com
Status: failure
  • Se produce un error en el trabajo de obtención del certificado.
    admin@PA-fw> request logging-service-forwarding certificate fetch

Successfully scheduled logging service certificate fetch job with a job id of 34292

admin@PA-fw> show jobs id 34292

Enqueued Dequeued ID Type Status Result Completed
------------------------------------------------------------------------------------------------------------------------------
2022/10/07 14:45:59 14:45:59 34292 LCaaS-certificate-fetch FIN FAIL 100 %
  • Los ms.logs en el muestran los firewall siguientes registros.
    2022-10-10 00:04:48.239 -0700 Error: pan_valid_lcaas_cert_present(pan_lcaas_cert_ops.c:663): Either certificate or key or both are missing
2022-10-10 00:04:48.239 -0700 LCAAS_CERT_RENEWAL scheduled
2022-10-10 00:04:48.239 -0700 Succesfully scheduled logging service certificate fetch job with a job id of 36069
2022-10-10 00:04:48.239 -0700 LCAAS_CERT_RENEWAL cert thread start
2022-10-10 00:04:48.239 -0700 LCAAS_CERT_RENEWAL fetch cert start
Generating RSA private key, 2048 bit long modulus
........................................+++
.....+++
e is 65537 (0x10001)
2022-10-10 00:04:49.355 -0700 Succesfully stored logging service priv_key (169949001_lcaas_cert_priv_key) in cryptod
2022-10-10 00:04:50.268 -0700 Succesfully sent logging service CSR signing request to panorama
2022-10-10 00:04:50.268 -0700 Response for cert fetch from CSP: <response status="success"><result><lcaas-cert>None</lcaas-cert><err-msg>Failed to load the JSON file suppl
ied by the server.
</err-msg><debug-msg/>
<status>Failure</status>
</result></response>
2022-10-10 00:04:50.268 -0700 Error: pan_lcaas_handle_cert_push(pan_lcaas_cert_ops.c:1180): Error response: Failed to load the JSON file supplied by the server.

2022-10-10 00:04:50.270 -0700 Error: _send_csr_signing_request_plugin(pan_lcaas_cert_ops.c:585): Failed to either write certificate file to disk
2022-10-10 00:04:50.270 -0700 Error: pan_lcaas_fetch_cert(pan_lcaas_cert_ops.c:908): Error sending CSR signing request to Panoram

Environment


  • Firewalls de Palo Alto Strata administrados por Panorama.
  • PanOS 10.0 o anterior

Cause


  • Esto se debe a la desconexión del complemento del servicio en la panorama nube con el CDL backend.
  • El complemento de servicio en la nube maneja la panorama conexión entre panorama y el CDL backend.
  • La conexión del plugin puede romperse cuando se renuevan las licencias y OTP la verificación debe realizarse de nuevo.

Resolution


  1. Realice la OTP verificación en el complemento para el servicio en la panorama nube.
  2. Si hay algún error con el proceso, utilice este artículo para obtener ayuda.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kEYeCAM&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language