Mensaje de error: x509: el certificado ha caducado o aún no es válido se ve en Prisma Cloud Compute
27144
Created On 01/18/22 18:18 PM - Last Modified 03/02/23 02:40 AM
Symptom
- Todos los defensores se muestran desconectados de la consola.
- Los registros de Defender muestran el error "x509: el certificado ha caducado o aún no es válido: la hora actual 2021-12-29T01:51:15Z es posterior a 2021-11-13T17:59:00Z"
ERRO 2021-12-29T01:51:15.343 defender.go:1455 No console connectivity wss://10.10.10.10:8084
ERRO 2021-12-29T01:51:15.482 api.go:230 Receive connection error Get " https://10.10.10.10:8084/api/v1/dbip-country-lite.mmdb": Forbidden; retrying without proxy
ERRO 2021-12-29T01:51:15.489 defender.go:1578 failed to init geoip db failed to download geoip db Get " https://10.10.10.10:8084/api/v1/dbip-country-lite.mmdb": x509: certificate has expired or is not yet valid: current time 2021-12-29T01:51:15Z is after 2021-11-13T17:59:00Z
Environment
- Prisma Cloud Cómputo autohospedado
- Cualquier versión.
Cause
- Para establecer una comunicación segura entre los certificados Defender y ConsoleTLS, se utilizan.
- Hay un apretón de manos bidireccional SSL que se produce entre los Defensores y la Consola.
- Este protocolo de enlace bidireccional requiere que ambos componentes (Defenders y Console) tengan certificados emitidos por la misma autoridad de certificación.
- La consola genera el paquete de certificados autofirmados y también sirve como repositorio para todos los certificados usados en la implementación. Cuando el CA certificado (certificado raíz) caduca, es necesario generar un nuevo paquete de certificados.
- Una vez creado este nuevo paquete, los certificados apropiados se activan en la consola. Después de que esto ocurra, los Defensores ya no podrán comunicarse con la consola porque los certificados que tienen ya no son válidos.
- El protocolo de enlace bidireccional SSL entre Defenders y Console ya no se puede establecer hasta que se resuelva este problema de certificado. Esta es la razón por la que los Defensores aparecen como desconectados en la consola.
Resolution
Nota: Las versiones más recientes de la consola (21.08 y superiores) renuevan los certificados automáticamente. Este documento es aplicable en caso de que los certificados no se renueven automáticamente
Opción 1:
Si se ejecutan versiones anteriores a 21.08 o si la actualización no es posible actualmente o si los certificados no se renuevan automáticamente, se puede utilizar el para rotar y renovar el API certificado manualmente.
- Haga una copia de seguridad del directorio certs desde la consola (la ubicación predeterminada es / var/lib/twistlock/certificates)
- La API llamada para activar una rotación de certificado (para actualizar la caducidad) es:
curl -k -u "USER:PASSWORD" -X PUT https://console:8083/api/v1/certs/rotate Referencia: API Documentación de Twistlock
- Después de ejecutarlo correctamente, debería ver que las marcas de tiempo de los archivos de certificado reflejan el cambio.
- Vuelva a implementar sus defensores.
Opción 2:
Si ya se ejecuta la versión 21.08, la consola de proceso mostrará un banner que indica que los certificados están a punto de Prisma Cloud caducar.
- El banner aparece automáticamente 30 días antes de su vencimiento.
- En este mismo banner, se verá un enlace en el que se puede hacer clic llamado "Rotar certificados".
- Haga clic en este enlace para renovar automáticamente los certificados.
- Vuelva a implementar sus defensores.
Referencia: Certificado personalizado para la consola
Additional Information
Para ver los detalles de los certificados actuales en / var/lib/twistlock/certificates, puedeutilizar openssl o cualquier herramienta similar como se muestra a continuación.
# openssl s_client -connect console:8083 > certstatus.txt Notas de la versión 21.08