Comment vérifier le certificat racine utilisé pour l'agent d'identification utilisateur (sans certificats personnalisés utilisés)

Comment vérifier le certificat racine utilisé pour l'agent d'identification utilisateur (sans certificats personnalisés utilisés)

10394
Created On 09/25/24 16:32 PM - Last Modified 12/27/24 09:46 AM


Objective


  • Ces étapes permettront à TAC de vérifier le certificat racine du pare-feu utilisé pour communiquer avec l'agent d'ID utilisateur . Cela concerne la configuration d'ID utilisateur par défaut sans l'utilisation de certificats personnalisés.
  • Le certificat agent User-ID par défaut est uncertificat auto-signéet sera mis à jour lorsqu'un nouveau certificat sera inclus par Palo Alto dans le logiciel User-ID Agent lors de l'installation sur le serveur Windows.
  • Un exemple de cela serait lors de la mise à niveau de l'agent d'ID utilisateur vers une version répertoriée dans ce document ci-dessous sous la colonne« Versions de mise à niveau minimales pour les NGFW, Panorama »dans« Tableau 1 : correctifs PAN-OS et agents mis à jour ».
  • Avant de mettre à niveau l'agent d'identification utilisateur vers l'un de ces« Versions minimales de mise à niveau »la date d'expiration du certificat de l'agent User-ID serait :18 novembre 202418:50:33 UTCcomme le montre la capturer Wireshark d'un agent d'ID utilisateur non corrigé prise sur le serveur de domaine Windows exécutant l'agent d'ID utilisateur :

  • Après la mise à niveau de l'agent d'ID utilisateur vers l'un de ces« Versions minimales de mise à niveau »la date d'expiration du certificat de l'agent User-ID serait :01-janv.-2032 04:00:00 UTC.
  • RéférerProcéduresection ci-dessous sur les détails du certificat d'ID utilisateur mis à jour ainsi que les étapes de vérification.

Environment


  • Pare-feu Palo Alto
  • PANOS 10.1 et versions ultérieures
  • Agent d'identification d'utilisateur

Procedure


ÉTAPE 1

Sur le serveur Windows lui-même, configuration une capturer Wireshark à l'aide du filtre pour « hôte » ' où l'adresse IP est celle de l' interface du pare-feu utilisée pour communiquer avec l' agent User-ID. Dans cet exemple, nous avons utilisé l'adresse IP de l' interface du pare-feu 10.22.3.5, de sorte que le filtre Wireshark serait « hôte 10.22.3.5 » :

Image 1


Image 2


ÉTAPE 2

Cette étape est nécessaire pour forcer une nouvelle négociation TLS afin de récupérer le certificat dans la capturer Wireshark lorsque l'agent d'identification utilisateur se reconnecte au pare-feu

NOTE:Le redémarrage du service d'agent d'ID utilisateur peut entraîner une brève interruption. Si nécessaire, effectuez l'action pendant une fenêtre de maintenance.

Redémarrez ensuite l'agent User-ID pour forcer une nouvelle connexion au pare-feu afin de capturer le certificat dans la liaison TLS/ SSL . Cliquez d'abord sur « Arrêter », puis sur « Démarrer » (pendant que la capturer Wireshark est en cours d'exécution) :

Image 4

ÉTAPE 3

Pour afficher les détails du certificat de l'agent d'identification utilisateur sur l'une des « versions de mise à niveau cible minimales » dans Wireshark, après avoir redémarré l'agent d'identification utilisateur (à partir de l'étape 2 ci-dessus), vous pourrez alors localiser et afficher les détails du certificat comme indiqué ci-dessous et vérifier que le certificat de l'agent d'identification utilisateur a été mis à jour :

NOTE:

  • Notez que le Common Name (nom commun - CN) du nouveau certificat est désormais nommé : « User-ID Agent 1 ».
  • Notez que la date d'expiration a également été mettre à jour comme indiqué à côté de la flèche rouge ci-dessus.
  • Lors de la capturer de Wireshark, d'autres certificats seront visibles dans le flux. Un moyen simple de filtrer et de trouver tous les certificats dans le flux Wireshark peut être d'utiliser le filtre tls.handshake.type == 11 dans Wireshark.
  • Cela affichera les multiples lignes contenant les certificats. Vous devrez vérifier chacune d'elles pour trouver le certificat User-ID Agent 1 :

Dans la sortie ci-dessus, nous pouvons maintenant vérifier que l'horodatage du certificat racine de l'ID utilisateur est effectivement valide à partir de :

 Not Before: Sep 1 05:14:57 2022 GMT
 Not After : Jan 1 05:14:57 2032 GMT  <<<<< New Expiration Date  <<<<<<

REMARQUE : à titre de référence, le certificat peut être exporté à partir de Wireshark en cliquant avec le bouton DROIT sur l'élément de certificat dans les détails du paquet comme indiqué ci-dessous et en cliquant sur Exporter les octets du paquet et en enregistrant le fichier au format .CER

Le certificat s'affiche désormais en ouvrant le fichier dans le gestionnaire de fichiers Windows :
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000scpUCAQ&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language