Les pare-feu ne peuvent pas récupérer CDL le certificat avec l’erreur « Impossible de charger le fichier fourni par le JSON serveur »

Les pare-feu ne peuvent pas récupérer CDL le certificat avec l’erreur « Impossible de charger le fichier fourni par le JSON serveur »

13514
Created On 10/15/22 12:14 PM - Last Modified 03/24/23 07:29 AM


Symptom


  • Les pare-feu Palo Alto Strata sont gérés par Panorama ( CDLCortex Data lake) (Anciennement Logging service) License.
  • Les pare-feu ne parviennent pas à récupérer le certificat requis pour se connecter et envoyer des journaux à CDL.
  • L’état logging service indique les échecs suivants.
    admin@PA-fw> request logging-service-forwarding status

Logging Service Certificate information:
Info: Error sending CSR signing request to Panorama
Not Valid after: 2022-10-21 00:00:21
Not Valid before: 2022-07-23 00:00:21
Status: failure
Last fetched: Tue Oct 11 17:04:53 2022


Logging Service Customer file information:
Info: Failed to validate server certificate for endpoint api.paloaltonetworks.com
Status: failure
  • Le travail de récupération de certificat échoue.
    admin@PA-fw> request logging-service-forwarding certificate fetch

Successfully scheduled logging service certificate fetch job with a job id of 34292

admin@PA-fw> show jobs id 34292

Enqueued Dequeued ID Type Status Result Completed
------------------------------------------------------------------------------------------------------------------------------
2022/10/07 14:45:59 14:45:59 34292 LCaaS-certificate-fetch FIN FAIL 100 %
  • Les ms.logs sur le firewall montrent les journaux suivants.
    2022-10-10 00:04:48.239 -0700 Error: pan_valid_lcaas_cert_present(pan_lcaas_cert_ops.c:663): Either certificate or key or both are missing
2022-10-10 00:04:48.239 -0700 LCAAS_CERT_RENEWAL scheduled
2022-10-10 00:04:48.239 -0700 Succesfully scheduled logging service certificate fetch job with a job id of 36069
2022-10-10 00:04:48.239 -0700 LCAAS_CERT_RENEWAL cert thread start
2022-10-10 00:04:48.239 -0700 LCAAS_CERT_RENEWAL fetch cert start
Generating RSA private key, 2048 bit long modulus
........................................+++
.....+++
e is 65537 (0x10001)
2022-10-10 00:04:49.355 -0700 Succesfully stored logging service priv_key (169949001_lcaas_cert_priv_key) in cryptod
2022-10-10 00:04:50.268 -0700 Succesfully sent logging service CSR signing request to panorama
2022-10-10 00:04:50.268 -0700 Response for cert fetch from CSP: <response status="success"><result><lcaas-cert>None</lcaas-cert><err-msg>Failed to load the JSON file suppl
ied by the server.
</err-msg><debug-msg/>
<status>Failure</status>
</result></response>
2022-10-10 00:04:50.268 -0700 Error: pan_lcaas_handle_cert_push(pan_lcaas_cert_ops.c:1180): Error response: Failed to load the JSON file supplied by the server.

2022-10-10 00:04:50.270 -0700 Error: _send_csr_signing_request_plugin(pan_lcaas_cert_ops.c:585): Failed to either write certificate file to disk
2022-10-10 00:04:50.270 -0700 Error: pan_lcaas_fetch_cert(pan_lcaas_cert_ops.c:908): Error sending CSR signing request to Panoram

Environment


  • Pare-feu Palo Alto Strata gérés par Panorama.
  • PanOS 10.0 ou version antérieure

Cause


  • Cela est dû à la déconnexion du plugin de service Cloud avec le panorama CDL backend.
  • Le plug-in de service Cloud sur le gère la connexion entre panorama et le panorama CDL backend.
  • La connexion au plugin peut être interrompue lorsque les licences sont renouvelées et OTP que la vérification doit être effectuée à nouveau.

Resolution


  1. Effectuez la OTP vérification sur le plug-in de service panorama for Cloud.
  2. Si des erreurs avec le processus, utilisez cet article pour obtenir de l’aide.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kEYeCAM&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language