Cómo comprobar el certificado raíz utilizado para el agente de identificación de usuario (sin certificados personalizados en uso)

Cómo comprobar el certificado raíz utilizado para el agente de identificación de usuario (sin certificados personalizados en uso)

10404
Created On 09/25/24 16:32 PM - Last Modified 12/27/24 09:49 AM


Objective


  • Estos pasos permitirán que TAC verifique el certificado raíz del firewall utilizado para comunicarse con el agente de ID de usuario . Esto es para la configuración de ID de usuario valor predeterminado sin el uso de certificados personalizados.
  • El certificado de agente de User-ID valor predeterminado es uncertificado autofirmadoy se actualizará cuando Palo Alto incluya un nuevo certificado en el software User-ID Agent cuando se instale en el servidor Windows.
  • Un ejemplo de esto sería al actualizar el Agente de ID de usuario a una versión que aparece en este documento a continuación, en la columna'Versiones mínimas de actualización de objetivos para NGFW, Panorama'dentro'Tabla 1: Revisiones urgentes y agentes actualizados de PAN-OS'.
  • Antes de actualizar el Agente de ID de usuario a uno de estos'Versiones mínimas de actualización de objetivos'La fecha de vencimiento del certificado del Agente de ID de Usuario sería:18 de noviembre de 202418:50:33 UTCcomo se ve en la capturar de Wireshark de un agente de ID de usuario sin parche tomada en el servidor de dominio de Windows que ejecuta el agente de ID de usuario:

  • Después de actualizar el Agente de ID de usuario a uno de estos'Versiones mínimas de actualización de objetivos'La fecha de vencimiento del certificado del Agente de ID de Usuario sería:01-Ene-2032 04:00:00 UTC.
  • ReferirseProcedimientoLa sección a continuación ofrece detalles sobre el certificado de ID de usuario actualizado, así como los pasos para verificarlo.

Environment


  • Cortafuegos de Palo Alto
  • PANOS 10.1 y superior
  • Agente de identificación de usuario

Procedure


PASO 1

En el propio servidor Windows configuración una capturar de Wireshark utilizando el filtro para 'host'. ' donde la IP es la de la interfaz del firewall que se utiliza para comunicarse con el agente de User-ID. En este ejemplo, utilizamos la IP de la interfaz del firewall 10.22.3.5, por lo que el filtro de Wireshark sería 'host 10.22.3.5' :

Imagen 1


Imagen 2


PASO 2

Este paso es necesario para forzar un nuevo protocolo de enlace TLS para capturar el certificado en la capturar de Wireshark cuando el agente de ID de usuario se conecta nuevamente al firewall.

NOTA:El reinicio del servicio del agente de ID de usuario puede provocar una breve interrupción. Si es necesario, realice la acción durante una ventana de mantenimiento.

A continuación, reinicie el agente de identificación de usuario para forzar una nueva conexión al cortafuegos a fin de capturar el certificado en el protocolo de enlace TLS/ SSL . Primero haga clic en "Detener" y luego en "Iniciar" (mientras se ejecuta la capturar de Wireshark):

Imagen 4

PASO 3

Para mostrar los detalles del certificado del Agente de ID de usuario en una de las 'Versiones mínimas de actualización de destino' en Wireshark, después de reiniciar el Agente de ID de usuario (del Paso 2 anterior), podrá ubicar y mostrar los detalles del certificado como se ve a continuación y verificar que el certificado del Agente de ID de usuario se haya actualizado:

NOTA:

  • Tenga en cuenta que el Nombre común del nuevo certificado ahora se llama: 'User-ID Agent 1'.
  • Tenga en cuenta que la fecha de vencimiento también se ha actualizar como se ve junto a la flecha roja arriba.
  • Durante la capturar de Wireshark, se verán otros certificados en el flujo. Una forma sencilla de filtrar y encontrar todos los certificados en el flujo de Wireshark es usar el filtro tls.handshake.type == 11 en Wireshark.
  • Esto mostrará las múltiples líneas con certificados. Deberás marcar cada una de ellas para encontrar el certificado del Agente 1 de ID de usuario:

En el resultado anterior ahora podemos verificar que la marca de tiempo del Certificado raíz de ID de usuario es de hecho válida desde:

 Not Before: Sep 1 05:14:57 2022 GMT
 Not After : Jan 1 05:14:57 2032 GMT  <<<<< New Expiration Date  <<<<<<

NOTA: Como referencia, el certificado se puede exportar desde Wireshark haciendo clic con el botón derecho en el elemento del certificado en Detalles del paquete como se ve a continuación y haciendo clic en Exportar bytes del paquete y guardando el archivo como .CER.

Ahora el certificado se mostrará abriendo el archivo en el administrador de archivos de Windows:
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000scpUCAQ&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language