Das Hinzufügen von Zertifikaten für PAN-OS den integrierten Benutzer-AgentID WinRM über HTTPS die Verbindung kann dazu führen, dass Terminalserver-Agent-Verbindungen fehlschlagen.
Symptom
Hinzufügen der erforderlichen Zertifikate für beide PAN-OS Das integrierte Benutzer-Agent-WinRM-über-Transportprotokoll HTTPS führt dazu, dass Terminalserver-Agent-VerbindungenID fehlschlagen, wenn die Terminalserver-Agents keine Zertifikate verwenden, die von einem CA im Zertifikatprofil enthaltenen Zertifikat signiert wurden, was zu einem Ausfall führt.
Benutzer-LogsID auf der firewall zeigt folgende Fehler:
2022-09-30 10:55:45.339 -0700 Fehler: pan_ssl_conn_open(pan_ssl_utils.c:843): Fehler: Failed to connect to 10.x.x.x(source: 10.y.y.y), SSL error: error:00000000:lib(0):func(0):reason(0)(0)
Im Fehlerprotokoll werden zwei IP Adressen angezeigt. Die erste IP Adresse (im obigen Beispiel 10.x.x.x) ist die IP Adresse des Terminalserver-Agents. Die zweite IP Adresse (im obigen Beispiel 10.y.y.y) ist die IP Adresse von firewall.
Environment
Firewall/Panorama mit PAN-OS Version 10.0 und höher Integrierter
PAN-OS Benutzer-AgentID
Terminalserver-Agent
Cause
PAN-OS Ab Version 10.0 haben Kunden die Möglichkeit, Zertifikate für die sichere Kommunikation zwischen Firewalls und Agenten hinzuzufügen. Das Zertifikatprofil auf dem firewall wird jedoch vom User-Agent und dem Terminalserver-AgentID gemeinsam genutzt.
Wenn Sie also Zertifikate für die WinRM-Verbindung HTTPS des PAN-OS integrierten Benutzer-AgentsID hinzufügen, wirkt sich das Zertifikatprofil auch auf die Verbindung mit dem Terminalserver-Agent aus, und die Verbindung mit dem Terminalserver-Agent schlägt fehl, wenn das Zertifikat nicht überprüft werden kann.
Resolution
- Aufgrund des erwarteten Verhaltens des Benutzer-Agents und des Terminalserver-Agenten,ID die ein Zertifikatprofil gemeinsam nutzen, besteht eine Möglichkeit, dies zu verhindern, darin, das Terminalserver-Agent-Zertifikat mit demselben Stammzertifikat CA signieren zu lassen, das im Zertifikatprofil auf dem firewallangegeben ist.
- Siehe Schritt 4 (optional) in der Dokumentation: Konfigurieren des Palo Alto Networks Terminal Server (TS)-Agenten für die Benutzerzuordnung
- Schalten Sie den User-AgentID auf die Verwendung von WinRM über HTTPum. Diese Methode erfordert keine Verwendung eines Zertifikats und daher kein Zertifikatprofil.