エラー メッセージ: x509: 証明書の有効期限が切れているか、まだ有効ではありませんが表示されるPrisma Cloudコンピューティング

• すべてのディフェンダーは、コンソールから切断されていることを示しています。
• Defender ログに次のエラーが表示されます。 x509: 証明書の有効期限が切れているか、まだ有効ではありません: 現在の時刻 2021-12-29T01:51:15Z は 2021-11-13T17:59:00Z より後です"

ERRO 2021-12-29T01:51:15.343 defender.go:1455 No console connectivity wss://10.10.10.10:8084
ERRO 2021-12-29T01:51:15.482 api.go:230 Receive connection error Get " https://10.10.10.10:8084/api/v1/dbip-country-lite.mmdb": Forbidden; retrying without proxy
ERRO 2021-12-29T01:51:15.489 defender.go:1578 failed to init geoip db failed to download geoip db Get " https://10.10.10.10:8084/api/v1/dbip-country-lite.mmdb": x509: certificate has expired or is not yet valid: current time 2021-12-29T01:51:15Z is after 2021-11-13T17:59:00Z

• Prisma Cloud 自己ホスト型コンピューティング
• 任意のバージョン。

• 間の安全な通信を確立するために、ディフェンダーとコンソールTLS証明書が使用されます。
• 双方向がありますSSLディフェンダーとコンソールの間で発生するハンドシェイク。
• この双方向ハンドシェイクでは、両方のコンポーネント (Defender とコンソール) が同じ認証局によって発行された証明書を持っている必要があります。
• コンソールは自己署名証明書バンドルを生成し、展開で使用されるすべての証明書のリポジトリとしても機能します。 ときCA証明書 (ルート証明書) の有効期限が切れると、新しい証明書バンドルを生成する必要があります。
• この新しいバンドルが作成されると、適切な証明書がコンソール上でアクティブになります。 これが発生すると、Defender が所有する証明書が無効になるため、Defender はコンソールと通信できなくなります。
• 双方向SSLこの証明書の問題が解決されるまで、Defender とコンソール間のハンドシェイクを確立できなくなります。 これが、Defender がコンソールで切断されて表示される理由です。

1. コンソールから certs ディレクトリをバックアップします (デフォルトの場所は/var/lib/twistlock/証明書)
2. のAPI証明書のローテーションをトリガーする呼び出し (有効期限を更新するため) は次のとおりです。

curl -k -u "USER:PASSWORD" -X PUT https://console:8083/api/v1/certs/rotate 

3. 正常に実行すると、証明書ファイルのタイムスタンプに変更が反映されていることがわかります。
4. 再デプロイあなたの擁護者。

1. バナーは有効期限の 30 日前に自動的にポップアップ表示されます。
2. この同じバナーに、「」というクリック可能なリンク証明書のローテーション」が表示されます。

1. このリンクをクリックして、証明書を自動的に更新します。
2. 防御側を再配置します。

# openssl s_client -connect console:8083 > certstatus.txt