「エンドポイント api.paloaltonetworks.com のサーバー証明書を検証できませんでした」は、デバイス証明書がパノラマにインストールされていない場合に表示されます
25775
Created On 01/05/23 06:24 AM - Last Modified 08/26/24 18:16 PM
Symptom
- CDL ログは Panorama に表示されません。
- Cortex Data Lake Status に "エンドポイント サーバーの証明書を検証できませんでした" というエラーが表示されます api.paloaltonetworks.com。
- Panorama と CDL エンドポイント間のトラフィックは、どの FW によってもブロックされません。
- ライセンスとロギングサービス証明書を再フェッチしても問題は解決しませんでした。
- ロギングサービス証明書の取得に成功し、有効期限が切れていません。
> request plugins cloud_services logging-service status
fail
/snip/
success
Successfully fetched logging service certificate
success
2022-12-13 03:07:26
2023-03-13 03:07:26
2022/12/13 12:18:18
xxxxxxxxxxxx
Failed to validate server certificate for endpoint api.paloaltonetworks.com
failure
xxxxxxxxxxxxxxxx.in2-lc-prod-us.gpcloudservice.com
xxxxxxxxxxxxxxxx.api2-lc-prod-us.gpcloudservice.com:444
2022/12/13 12:02:20
americasEnvironment
- 任意のパノラマ
- PAN-OS 10.1 以降
- Cloud Services プラグインがインストールされています。
- Panorama は Cortex Data Lake からログをプルします
Cause
- デバイス証明書がパノラマにインストールされていません。
> show device-certificate status
Device Certificate information:
No device certificate found
- 10.1 以降を実行しているパノラマでは、CDL に接続するために、ロギング サービス証明書の代わりにデバイス証明書 を使用する必要があります。
Resolution
- Panorama デバイス証明書をインストールします。
- パノラマで「報告済み」プロセスを再起動します
> show system resources | match reportd
> debug software restart process reportd
> show system resources | match reportd
- 「報告済み」プロセスを再開すると、パノラマはロギングサービスにデバイス証明書の使用を開始します。
> request plugins cloud_services logging-service status
pass
/snip/
success
Successfully fetched Device Certificate
success
1670900486
1678676486
2022/12/14 11:03:31
xxxxxxxxxxxx
Successfully fetched Logging Service customer info
success
xxxxxxxxxxxxxxxx.in2-lc-prod-us.gpcloudservice.com
xxxxxxxxxxxxxxxx.api2-lc-prod-us.gpcloudservice.com:444
2022/12/14 11:02:17
americasAdditional Information
CDL に関連付けられているファイアウォールの場合は、CDL ライセンス キーを削除し、デバイス証明書のインストール後に再取得します。
- CDLライセンスの削除:
> delete license key <CDL_License_Key>
- CDLライセンスの取得:
> request license fetch