Firewall Impossible de se connecter à l’après Panorama la mise à niveau
14525
Created On 11/02/21 06:06 AM - Last Modified 07/31/23 16:48 PM
Symptom
- Panoramaet pare-feu gérés mis à niveau vers la version 10.1.2
- Les pare-feu sont déconnectés de Panorama
- Configd.log activé Panorama (afficher mp-log configd.log) affiche le message « échec de l’enregistrement du périphérique »
Warning: isSC3conn(sc3_register.c:47): SC3: Given SNI does not match for peer (/78d92c71-79d0-4381-9370-2f0d35338d3e)
Warning: sc3_register(sc3_register.c:211): SC3: connstat for '012001xxxxxx': 1
Error: sc3_register(sc3_register.c:220): SC3: Re-register of '012001xxxxxx' is not allowed.
reg: device '012001062884' using :: 84e7f61d-191b-4e3e-a4c6-9e5649367d84
Warning: _register_ext_validation(pan_cfg_mgt_handler.c:4439): reg: device '012001xxxxxx' not registered before but using a signed cert ( :: 84e7f61d-191b-4e3e-a4c6-9e5649367d84)
Error: pan_cfg_handle_mgt_reg(pan_cfg_mgt_handler.c:4754): SC3: Failed to register device: '012001xxxxxx'
Environment
- Panorama Gérer les pare-feu Palo Alto
- Mise à niveau vers /Firewalls vers PanoramaPAN-OS la version 10.1.2
Cause
- Dans PAN les versions 10.1 et ultérieures, le during initial TLS fournira la clé d’authentification au registre avec le FW certificat CSR de périphérique , qui est généré lors de l’installation de la version 10.1
- Cette clé d’authentification est générée par Panorama et doit être saisie dans la Panorama Firewall configuration
- Une fois la clé d’authentification validée par Panorama celui-ci, il signera l’appareil CSR à l’aide du certificat racine et poussera le certificat de périphérique et le certificat racine CA à l’aide FW de CA la première TLS connexion.
- À partir de là, les nouveaux registres du FW commenceront à utiliser le certificat de périphérique poussé pour obtenir l’authentification TLS
Resolution
Exécutez les commandes suivantes sur la gestion firewall qui est déconnectée.
>request sc3 reset >>> Refer to the important note below
>debug software restart process management-server
>request authkey set <> >>> auth key from Panorama
>configure
#commit force
#exit
Remarque : N’exécutez pas la commande « request sc3 reset » sur Panorama. Cela réinitialisera tous les pare-feu connectés. Cette commande doit être exécutée sur Managed firewall.
Additional Information
Restaurer la connectivité des appareils gérés vers Panorama