Échec de la communication sécurisée entre Firewall et Log Collector lors de l’utilisation d’un certificat personnalisé
23175
Created On 01/19/23 14:25 PM - Last Modified 03/02/23 05:28 AM
Symptom
- Firewall Impossible d’établir une connexion avec le collecteur de journaux et donc impossible de transférer les journaux.
- Sous GUI: >Gérer le > Panorama du collecteur (sélectionnez le LC> Communication > Sécuriser la communication serveur > certificat personnalisé uniquement est activé.
Environment
- Panorama gestion du collecteur de journaux.
- PAN-OS 9.1 et au-dessus
- Le collecteur de journaux externe est configuré le Panorama.
- Certificat personnalisé utilisé le Panorama.
Cause
Comme seul le certificat personnalisé est activé, Log Collector accepte uniquement les certificats personnalisés pour l’authentification avec des pare-feu gérés et des collecteurs de journaux.
Resolution
- Activer la LC communication sécurisée dans Firewall.
- Cela peut être configuré sous GUI: Device >Setup > Management > Secure communication settings >Custom certificate settings > Customize communication.
- Validez la configuration.
Additional Information
- Sur le , Logrcvr log (moins mp-log logrcvr.log) affiche l’erreur concernant Firewall l’impossibilité d’échanger le certificat avec Log Collector pour former SSL le firewallcanal
+0800 connecting to remote address x.x.x.x @ fd 153
+0800 Error: cs_load_certs_ex(cs_common.c:655): keyfile not exists
+0800 SSL connect retry. sock=153 retry=3 sslretry=0 sslerr=2. <<<<<<<<
+0800 SSL connect retry. sock=153 retry=3 sslretry=1 sslerr=1. <<<<<<<<
- Packet Capture indique que Log collector répond avec Fatal alert , nom non reconnu à la demande hello du client (Firewall).
x.x.x.x m.m.m.m 3978 56322 Alert (Level: Fatal, Description: Unrecognized Name)
Transport Layer Security
>TLSv1.2 Record Layer: Alert (Level: Fatal, Description: Unrecognized Name)
Content Type: Alert (21)
Version: TLS 1.2 (0x0303)
Length: 2
>Alert Message
Level: Fatal (2)
Description: Unrecognized Name (112)