之间的安全通信失败Firewall和使用自定义证书时的日志收集器

之间的安全通信失败Firewall和使用自定义证书时的日志收集器

23159
Created On 01/19/23 14:25 PM - Last Modified 03/02/23 05:28 AM


Symptom


  • Firewall 无法与日志收集器建立连接,因此无法转发日志。
  • 在下面GUI:Panorama >管理收集器>(选择LC) > 通信 > 安全服务器通信 > 仅自定义证书已启用。

Environment


  • Panorama 管理日志收集器。
  • PAN-OS 9.1及以上
  • 外部日志收集器配置于Panorama.
  • 自定义证书用于Panorama.
笔记:在Panorama模式,Panorama同时作为管理设备和日志收集器。

Cause


由于仅启用自定义证书,日志收集器仅接受自定义证书以使用托管防火墙和日志收集器进行身份验证。

Resolution


  1. 使能够LC安全通信Firewall.
  2. 这可以配置在GUI:设备 > 设置 > 管理 > 安全通信设置 > 自定义证书设置 > 自定义通信。
  3. 犯罪配置。
参考:如何配置之间的安全通信Panorama和Firewall使用自定义证书.

Additional Information


  • 在firewall, logrcvr 日志 (少 mp 日志 logrcvr.log )显示关于错误Firewall无法与日志收集器交换证书以形成SSL渠道
+0800 connecting to remote address x.x.x.x @ fd 153
+0800 Error: cs_load_certs_ex(cs_common.c:655): keyfile not exists
+0800 SSL connect retry. sock=153 retry=3 sslretry=0 sslerr=2. <<<<<<<<
+0800 SSL connect retry. sock=153 retry=3 sslretry=1 sslerr=1. <<<<<<<<
  • 数据包捕获显示日志收集器响应 Fatal alert , unrecognized name to the client hello request (Firewall ).
x.x.x.x m.m.m.m 3978 56322 Alert (Level: Fatal, Description: Unrecognized Name) 

Transport Layer Security 
>TLSv1.2 Record Layer: Alert (Level: Fatal, Description: Unrecognized Name) 
Content Type: Alert (21) 
Version: TLS 1.2 (0x0303)
Length: 2 
>Alert Message
Level: Fatal (2) 
Description: Unrecognized Name (112)
    Other users also viewed:
    Actions
    • Print
    • Copy Link

      https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kGNECA2&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

    Choose Language