错误消息：x509：证书已过期或尚未生效Prisma Cloud计算

27082

Created On 01/18/22 18:18 PM - Last Modified 03/02/23 02:42 AM

Symptom

所有防御者都显示与控制台断开连接。
Defender 日志显示错误“ x509：证书已过期或尚未生效：当前时间 2021-12-29T01:51:15Z 在 2021-11-13T17:59:00Z 之后“

ERRO 2021-12-29T01:51:15.343 defender.go:1455 No console connectivity wss://10.10.10.10:8084
ERRO 2021-12-29T01:51:15.482 api.go:230 Receive connection error Get " https://10.10.10.10:8084/api/v1/dbip-country-lite.mmdb": Forbidden; retrying without proxy
ERRO 2021-12-29T01:51:15.489 defender.go:1578 failed to init geoip db failed to download geoip db Get " https://10.10.10.10:8084/api/v1/dbip-country-lite.mmdb": x509: certificate has expired or is not yet valid: current time 2021-12-29T01:51:15Z is after 2021-11-13T17:59:00Z

Environment

Prisma Cloud 计算自托管
任何版本。

Cause

为了建立安全的通信之间后卫和安慰TLS使用证书。
有两种方式SSLDefenders 和 Console 之间发生的握手。
这种双向握手要求两个组件（防御者和控制台）都具有由同一证书颁发机构颁发的证书。
控制台生成自签名证书包，它还充当部署中使用的所有证书的存储库。当。。。的时候CA证书（根证书）过期，需要生成新的证书包。
一旦创建了这个新的捆绑包，相应的证书就会在控制台上激活。发生这种情况后，防御者将无法再与控制台通信，因为他们拥有的证书不再有效。
双向的SSL在解决此证书问题之前，无法再建立 Defenders 和控制台之间的握手。这就是 Defenders 在控制台中显示为断开连接的原因。

Resolution

注意：较新版本的控制台（21.08 及更高版本）会自动更新证书。本文档适用于证书未自动更新的情况

选项1：
如果运行的版本低于 21.08，或者当前无法升级，或者证书未自动更新，则可以使用API手动轮换和更新证书。

从控制台备份 certs 目录（默认位置是/var/lib/twistlock/证书)
这API触发证书轮换（刷新到期）的调用是：

curl -k -u "USER:PASSWORD" -X PUT https://console:8083/api/v1/certs/rotate

参考：API扭锁文档

成功运行后，您应该会看到证书文件的时间戳反映了更改。
重新部署你的捍卫者。

**新证书意味着防御者也需要重新部署，以便他们可以注册并使用刷新的证书重新连接到控制台。

选项2：

如果已经运行 21.08，则Prisma Cloud计算控制台将显示一个横幅，指示证书即将过期。

横幅会在到期前 30 天自动弹出。
在同一个横幅中，一个名为“轮换证书" 将可见。

单击此链接可自动更新证书。
重新部署你的防御者。

参考：控制台的自定义证书

Additional Information

查看当前证书的详细信息/var/lib/twistlock/certificates, o ne 可以使用 openssl 或任何类似的工具，如下所示。

# openssl s_client -connect console:8083 > certstatus.txt