Message d’erreur : x509 : le certificat a expiré ou n’est pas encore valide s’affiche sur Prisma Cloud Compute
27126
Created On 01/18/22 18:18 PM - Last Modified 03/02/23 02:32 AM
Symptom
- Tous les défenseurs s’affichent déconnectés de la console.
- Les journaux de Defender affichent l’erreur « x509: le certificat a expiré ou n’est pas encore valide: l’heure actuelle 2021-12-29T01:51:15Z est postérieure à 2021-11-13T17:59:00Z »
ERRO 2021-12-29T01:51:15.343 defender.go:1455 No console connectivity wss://10.10.10.10:8084
ERRO 2021-12-29T01:51:15.482 api.go:230 Receive connection error Get " https://10.10.10.10:8084/api/v1/dbip-country-lite.mmdb": Forbidden; retrying without proxy
ERRO 2021-12-29T01:51:15.489 defender.go:1578 failed to init geoip db failed to download geoip db Get " https://10.10.10.10:8084/api/v1/dbip-country-lite.mmdb": x509: certificate has expired or is not yet valid: current time 2021-12-29T01:51:15Z is after 2021-11-13T17:59:00Z
Environment
- Prisma Cloud Calcul auto-hébergé
- N’importe quelle version.
Cause
- Afin d’établir une communication sécurisée entre le Defender et la consoleTLS, des certificats sont utilisés.
- Il y a une poignée de main bidirectionnelle SSL qui se produit entre les défenseurs et la console.
- Cette négociation bidirectionnelle nécessite que les deux composants (défenseurs et console) disposent de certificats émis par la même autorité de certification.
- La console génère le bundle de certificats auto-signés et sert également de référentiel pour tous les certificats utilisés dans le déploiement. Lorsque le CA certificat (certificat racine) expire, un nouveau groupe de certificats doit être généré.
- Une fois ce nouveau bundle créé, les certificats appropriés sont activés sur la console. Après cela, les défenseurs ne seraient plus en mesure de communiquer avec la console car les certificats dont ils disposent ne sont plus valides.
- La négociation bidirectionnelle SSL entre Defenders et la console ne peut plus être établie tant que ce problème de certificat n’est pas résolu. C’est pourquoi les Défenseurs apparaissent comme déconnectés dans la console.
Resolution
Remarque : Les versions les plus récentes de la console (21.08 et supérieures) renouvellent automatiquement les certificats. Ce document est applicable dans le cas où les certificats ne sont pas renouvelés automatiquement
Option 1:
Si vous exécutez des versions inférieures à 21.08 ou si la mise à niveau n’est pas possible actuellement ou si les certificats ne sont pas renouvelés automatiquement, on peut utiliser le pour faire pivoter et renouveler le API certificat manuellement.
- Sauvegardez le répertoire certs à partir de votre console (l’emplacement par défaut est / var/lib/twistlock/certificates)
- L’appel API pour déclencher une rotation de certificat (pour actualiser l’expiration) est :
curl -k -u "USER:PASSWORD" -X PUT https://console:8083/api/v1/certs/rotate Référence : API Documentation de Twistlock
- Après l’avoir exécuté avec succès, vous devriez voir les horodatages des fichiers de certificat refléter la modification.
- Redéployez vos défenseurs.
Option 2 :
Si vous exécutez déjà la version 21.08, la Prisma Cloud Compute Console affiche une bannière indiquant que les certificats sont sur le point d’expirer.
- La bannière apparaît automatiquement 30 jours avant l’expiration.
- Dans cette même bannière, un lien cliquable appelé « Rotation des certificats » sera visible.
- Cliquez sur ce lien pour renouveler automatiquement les certificats.
- Redéployez vos défenseurs.
Référence : Certificat personnalisé pour la console
Additional Information
Pour afficher les détails des certificats actuels sous / var/lib/twistlock/certificates, vouspouvez utiliser openssl ou tout autre outil similaire comme indiqué ci-dessous.
# openssl s_client -connect console:8083 > certstatus.txt Notes de version de la version 21.08