Firewall に接続できませんPanoramaアップグレード後
14523
Created On 11/02/21 06:06 AM - Last Modified 07/31/23 16:48 PM
Symptom
- Panoramaおよび 10.1.2 にアップグレードされたマネージド ファイアウォール
- ファイアウォールが切断されたと表示される Panorama
- Configd.ログオンPanorama( mp-log configd.log を表示) 「デバイスの登録に失敗しました」というメッセージが表示される
Warning: isSC3conn(sc3_register.c:47): SC3: Given SNI does not match for peer (/78d92c71-79d0-4381-9370-2f0d35338d3e)
Warning: sc3_register(sc3_register.c:211): SC3: connstat for '012001xxxxxx': 1
Error: sc3_register(sc3_register.c:220): SC3: Re-register of '012001xxxxxx' is not allowed.
reg: device '012001062884' using :: 84e7f61d-191b-4e3e-a4c6-9e5649367d84
Warning: _register_ext_validation(pan_cfg_mgt_handler.c:4439): reg: device '012001xxxxxx' not registered before but using a signed cert ( :: 84e7f61d-191b-4e3e-a4c6-9e5649367d84)
Error: pan_cfg_handle_mgt_reg(pan_cfg_mgt_handler.c:4754): SC3: Failed to register device: '012001xxxxxx'
Environment
- Panorama パロアルト ファイアウォールの管理
- へのアップグレードPanorama/ファイアウォールへPAN-OS10.1.2
Cause
- のPAN10.1 以降、FW初期中TLSを供給します認証キーデバイス証明書と一緒にレジスターにCSR、10.1 のインストール時に生成されます
- この認証キーは、Panoramaに入力する必要があります。FirewallでPanorama構成
- 認証キーが検証されると、Panoramaデバイスに署名しますCSRルートを使用するCAcert を発行し、デバイス証明書とルートをプッシュしますCAへの証明書FW最初のものを使用してTLS繋がり。
- そこから、FWプッシュされているデバイス証明書の使用を開始して、TLS認証
Resolution
管理対象で次のコマンドを発行します。firewallそれは切断されています。
>request sc3 reset >>> Refer to the important note below
>debug software restart process management-server
>request authkey set <> >>> auth key from Panorama
>configure
#commit force
#exit
注: " を実行しないでください。 sc3 リセットを要求する"コマンドオンPanorama. これを行うと、接続されているすべてのファイアウォールがリセットされます。 このコマンドはマネージドで実行されますfirewall.
Additional Information
管理対象デバイスの接続を回復する Panorama