Fehlermeldung: x509: Zertifikat ist abgelaufen oder ist noch nicht gültig wird auf Prisma Cloud Compute angezeigt

27122

Created On 01/18/22 18:18 PM - Last Modified 03/02/23 02:32 AM

Symptom

Alle Verteidiger werden getrennt von der Konsole angezeigt.
Defender-Protokolle zeigen den Fehler "x509: Zertifikat ist abgelaufen oder ist noch nicht gültig: aktuelle Zeit 2021-12-29T01:51:15Z ist nach 2021-11-13T17:59:00Z"

ERRO 2021-12-29T01:51:15.343 defender.go:1455 No console connectivity wss://10.10.10.10:8084
ERRO 2021-12-29T01:51:15.482 api.go:230 Receive connection error Get " https://10.10.10.10:8084/api/v1/dbip-country-lite.mmdb": Forbidden; retrying without proxy
ERRO 2021-12-29T01:51:15.489 defender.go:1578 failed to init geoip db failed to download geoip db Get " https://10.10.10.10:8084/api/v1/dbip-country-lite.mmdb": x509: certificate has expired or is not yet valid: current time 2021-12-29T01:51:15Z is after 2021-11-13T17:59:00Z

Environment

Prisma Cloud Compute selbst gehostet
Jede Version.

Cause

Um eine sichere Kommunikation zwischen dem Defender und der Konsole TLS herzustellen, werden Zertifikate verwendet.
Es gibt einen Zwei-Wege-Handshake SSL , der zwischen den Verteidigern und der Konsole stattfindet.
Dieser bidirektionale Handshake erfordert, dass beide Komponenten (Defenders und Console) über Zertifikate verfügen, die von derselben Zertifizierungsstelle ausgestellt wurden.
Die Konsole generiert das selbstsignierte Zertifikatspaket und dient auch als Repository für alle in der Bereitstellung verwendeten Zertifikate. Wenn das CA Zertifikat (Stammzertifikat) abläuft, muss ein neues Zertifikatspaket generiert werden.
Sobald dieses neue Bundle erstellt wurde, werden die entsprechenden Zertifikate auf der Konsole aktiviert. Danach können die Verteidiger nicht mehr mit der Konsole kommunizieren, da die Zertifikate, über die sie verfügen, nicht mehr gültig sind.
Der bidirektionale SSL Handshake zwischen Defenders und Console kann nicht mehr eingerichtet werden, bis dieses Zertifikatsproblem behoben ist. Aus diesem Grund werden die Verteidiger in der Konsole als getrennt angezeigt.

Resolution

Hinweis: Die neueren Versionen der Konsole (21.08 und höher) erneuern die Zertifikate automatisch. Dieses Dokument gilt für den Fall, dass die Zertifikate nicht automatisch erneuert werden

Option1:
Wenn Versionen unter 21.08 ausgeführt werden oder wenn ein Upgrade derzeit nicht möglich ist oder wenn die Zertifikate nicht automatisch erneuert werden, können Sie das API Zertifikat manuell rotieren und erneuern.

Sichern Sie das certs-Verzeichnis von Ihrer Konsole (Standardspeicherort ist / var/lib/twistlock/certificates)
Der API Aufruf zum Auslösen einer Zertifikatsrotation (zum Aktualisieren des Ablaufs) lautet:

curl -k -u "USER:PASSWORD" -X PUT https://console:8083/api/v1/certs/rotate

Referenz: API Dokumentation von Twistlock

Nach dem erfolgreichen Ausführen sollten die Zeitstempel der Zertifikatdateien die Änderung widerspiegeln.
Setzen Sie Ihre Verteidiger erneut ein.

**Neue Zertifikate bedeuten, dass auch Verteidiger erneut bereitgestellt werden müssen, damit sie sich registrieren und die aktualisierten Zertifikate verwenden können, um sich erneut mit der Konsole zu verbinden.

Option 2:

Wenn bereits 21.08 ausgeführt wird, zeigt die Compute Console ein Banner an, das angibt, dass die Prisma Cloud Zertifikate kurz vor dem Ablauf stehen.

Das Banner erscheint automatisch 30 Tage vor Ablauf.
Im selben Banner wird ein anklickbarer Link namens "Zertifikate rotieren" angezeigt.

Klicken Sie auf diesen Link, um die Zertifikate automatisch zu erneuern.
Setzen Sie Ihre Verteidiger erneut ein.

Referenz: Benutzerdefiniertes Zertifikat für Konsole

Additional Information

Um Details zu aktuellen Zertifikaten unter /var/lib/twistlock/certificatesanzuzeigen, kann o ne openssl oder ein ähnliches Tool verwenden, wie unten gezeigt.

# openssl s_client -connect console:8083 > certstatus.txt