間の安全な通信の失敗Firewallカスタム証明書を使用する場合の Log Collector
23181
Created On 01/19/23 14:25 PM - Last Modified 03/02/23 05:35 AM
Symptom
- Firewall ログ コレクターとの接続を確立できないため、ログを転送できません。
- 下GUI:Panorama >コレクターの管理 > (LC ) > 通信 > 安全なサーバー通信 > カスタム証明書のみ有効になっています。
Environment
- Panorama ログコレクターの管理。
- PAN-OS 9.1以上
- 外部ログ コレクターが構成されていますPanorama.
- で使用されるカスタム証明書Panorama.
Cause
カスタム証明書のみが有効になっているため、ログ コレクターは、管理されたファイアウォールとログ コレクターでの認証にカスタム証明書のみを受け入れます。
Resolution
- 有効LCでの安全な通信Firewall.
- これは以下で設定できますGUI: [デバイス] > [セットアップ] > [管理] > [セキュリティで保護された通信の設定] > [カスタム証明書の設定] > [通信のカスタマイズ] 。
- 専念構成。
Additional Information
- 上でfirewall、 Logrcvr ログ (少ない mp-log logrcvr.log )についてのエラーを示しますFirewallLog Collector と証明書を交換してフォームを作成できませんSSLチャネル
+0800 connecting to remote address x.x.x.x @ fd 153
+0800 Error: cs_load_certs_ex(cs_common.c:655): keyfile not exists
+0800 SSL connect retry. sock=153 retry=3 sslretry=0 sslerr=2. <<<<<<<<
+0800 SSL connect retry. sock=153 retry=3 sslretry=1 sslerr=1. <<<<<<<<
- パケット キャプチャは、ログ コレクターが Fatal alert , unrecognized name でクライアントの hello 要求に応答することを示しています (Firewall )。
x.x.x.x m.m.m.m 3978 56322 Alert (Level: Fatal, Description: Unrecognized Name)
Transport Layer Security
>TLSv1.2 Record Layer: Alert (Level: Fatal, Description: Unrecognized Name)
Content Type: Alert (21)
Version: TLS 1.2 (0x0303)
Length: 2
>Alert Message
Level: Fatal (2)
Description: Unrecognized Name (112)