So überprüfen Sie das für den User-ID-Agent verwendete Stammzertifikat (ohne Verwendung benutzerdefinierter Zertifikate)

• Mit diesen Schritten kann TAC das Zertifikat der Firewall überprüfen, das zur Kommunikation mit dem User-ID-Agent verwendet wird . Dies gilt für die Standard(-) User-ID Konfiguration ohne Verwendung benutzerdefinierter Zertifikate.
• Das Standard(-) User-ID-Agent Zertifikat ist einselbstsigniertes Zertifikatund wird aktualisiert, wenn von Palo Alto bei der Installation auf dem Windows-Server ein neues Zertifikat in die User-ID-Agent-Software aufgenommen wird.
• Ein Beispiel hierfür wäre das Upgrade des User-ID-Agenten auf eine Version, die in diesem Dokument unten in der Spalte„Mindestziel-Upgradeversionen für NGFWs, Panorama“innerhalb„Tabelle 1: PAN-OS-Hotfixes und aktualisierte Agenten“.
• Vor dem Upgrade des User-ID-Agenten auf einen dieser„Mindestziel-Upgradeversionen“Das Ablaufdatum für das User-ID-Agent Zertifikat wäre:18. November 202418:50:33 UTCwie in der Wireshark- erfassen von einem nicht gepatchten User-ID-Agent zu sehen ist, die auf dem Windows-Domänenserver erstellt wurde, auf dem der User-ID-Agent ausgeführt wird:

• Nach dem Upgrade des User-ID-Agenten auf einen dieser„Mindestziel-Upgradeversionen“Das Ablaufdatum für das User-ID-Agent Zertifikat wäre:01.01.2032 04:00:00 UTC.
• VerweisenVerfahrenEinzelheiten zum Aussehen des aktualisierten User-ID- Zertifikat sowie zu den Schritten zur Überprüfung finden Sie weiter unten im Abschnitt.

• Palo Alto-Firewalls
• PANOS 10.1 und höher
• Benutzer-ID-Agent

SCHRITT 1

Einrichtung auf dem Windows-Server selbst eine Wireshark- erfassen mit dem Filter für „Host“ ein. ', wobei die IP die der Firewall- Schnittstelle ist, die zur Kommunikation mit dem User-ID-Agent verwendet wird. In diesem Beispiel haben wir die Schnittstelle -IP der Firewall von 10.22.3.5 verwendet, sodass der Wireshark-Filter 'Host 10.22.3.5' wäre:

SCHRITT 2

Dieser Schritt ist erforderlich, um einen neuen TLS Handshake zu erzwingen, um das Zertifikat im Wireshark erfassen abzufangen, wenn der User-ID-Agent wieder eine Verbindung zur Firewall herstellt.

NOTIZ:Der Neustart des User ID-Agent-Dienstes kann zu einer kurzen Unterbrechung führen. Führen Sie die Aktion bei Bedarf während eines Wartungsfensters aus.

Starten Sie anschließend den User-ID-Agent neu, um eine neue Verbindung zur Firewall zu erzwingen und das Zertifikat im TLS/ SSL Handshake zu erfassen . Klicken Sie zuerst auf „Stopp“ und dann auf „Start“ (während die Wireshark- erfassen läuft):

SCHRITT 3

Um die Details des User-ID-Agent- Zertifikat auf einer der „Minimal Target Upgrade Versions“ in Wireshark anzuzeigen, können Sie nach dem Neustart des User-ID-Agents (aus Schritt 2 oben) die Zertifikat wie unten dargestellt lokalisieren und anzeigen sowie überprüfen, ob das User-ID-Agent- Zertifikat aktualisiert wurde:

NOTIZ:

• Beachten Sie, dass der Common Name (allgemeiner Name, CN) des neuen Zertifikat jetzt „User-ID Agent 1“ lautet.
• Beachten Sie, dass das Ablaufdatum ebenfalls aktualisieren wurde, wie oben neben dem roten Pfeil zu sehen.
• Während der Wireshark- erfassen werden im Flow weitere Zertifikate angezeigt. Eine einfache Möglichkeit, alle Zertifikate im Wireshark-Flow zu filtern und zu finden, ist die Verwendung des Filters tls.handshake.type == 11 in Wireshark.
• Dadurch werden mehrere Zeilen mit Zertifikaten angezeigt. Sie müssen jede einzelne davon überprüfen, um das User-ID Agent 1 Zertifikat zu finden:

In der obigen Ausgabe können wir nun überprüfen, ob der Zeitstempel des User-ID-Stammzertifikats tatsächlich gültig ist ab:

 Not Before: Sep 1 05:14:57 2022 GMT
 Not After : Jan 1 05:14:57 2032 GMT  <<<<< New Expiration Date  <<<<<<

HINWEIS: Als Referenz kann das Zertifikat aus Wireshark exportiert werden, indem Sie mit der rechten Maustaste auf das Zertifikat in den Paketdetails klicken (siehe unten), auf „Paketbytes exportieren“ klicken und die Datei als .CER speichern.

Nun kann das Zertifikat durch Öffnen der Datei im Windows-Dateimanager angezeigt werden: