ユーザー ID エージェントに使用されるルート証明書を確認する方法 (カスタム証明書が使用されていない場合)

ユーザー ID エージェントに使用されるルート証明書を確認する方法 (カスタム証明書が使用されていない場合)

10366
Created On 09/25/24 16:32 PM - Last Modified 12/27/24 09:51 AM


Objective


  • これらの手順により、TAC は、User-ID エージェントとの通信に使用されるファイアウォールのルート証明書を検証できます。これは、カスタム証明書を使用しないデフォルトのUser-ID設定用です。
  • デフォルトのUser-IDエージェント証明書は自己署名証明書Windows サーバーにインストールされたときに、Palo Alto によって User-ID エージェント ソフトウェアに新しい証明書が組み込まれると、更新されます。
  • この例としては、User-IDエージェントをこの文書の以下の列に記載されているバージョンにアップグレードする場合が挙げられます。「NGFW、Panorama の最小ターゲットアップグレードバージョン」内で「表 1: PAN-OS ホットフィックスと更新されたエージェント」
  • ユーザーIDエージェントをこれらのいずれかにアップグレードする前に「最小ターゲットアップグレードバージョン」ユーザー ID エージェント証明書の有効期限は次のようになります。2024年11月18日18:50:33 UTCUser-ID エージェントを実行している Windows ドメイン サーバーで取得された、パッチが適用されていない User-ID エージェントからの Wiresharkキャプチャに見られるように:

  • ユーザーIDエージェントをこれらのいずれかにアップグレードした後「最小ターゲットアップグレードバージョン」ユーザー ID エージェント証明書の有効期限は次のようになります。2032 年 1 月 1 日 04:00:00 UTC。
  • 参照する手順更新されたユーザー ID証明書の詳細と確認手順については、以下のセクションを参照してください。

Environment


  • パロアルトファイアウォール
  • PANOS 10.1以上
  • ユーザーIDエージェント

Procedure


ステップ1

Windowsサーバー自体が「ホスト」のフィルターを使用してWiresharkキャプチャをセットアップ。 ' ここで、IP は、User-IDエージェントとの通信に使用されているファイアウォールのインターフェイスの IP です。この例では、ファイアウォールのインターフェイスIP 10.22.3.5 を使用したため、Wireshark フィルターは'host 10.22.3.5'になります。

画像1


画像2


ステップ2

この手順は、ユーザーIDエージェントがファイアウォールに接続し直すときに、Wiresharkキャプチャで証明書をキャッチするために新しいTLSハンドシェイクを強制するために必要です。

注記:ユーザー ID エージェント サービスを再起動すると、短時間の中断が発生する可能性があります。必要に応じて、メンテナンス ウィンドウ中にアクションを実行してください。

次に、User-ID エージェントを再起動して、ファイアウォールへの新しい接続を強制し、 TLS/ SSLハンドシェイクで証明書をキャプチャ。最初に「停止」をクリックし、次に「開始」をクリックします (Wiresharkキャプチャの実行中)。

画像4

ステップ3

Wireshark の「最小ターゲット アップグレード バージョン」のいずれかで User-ID エージェント証明書の詳細を表示するには、User-ID エージェントを再起動した後 (上記の手順 2 から)、以下のように証明書の詳細を見つけて表示し、User-ID エージェント証明書が更新されたことを確認できます。

注記:

  • 新しい証明書のCommon Name ( 共通名 - CN )が「User-ID Agent 1」になっていることに注意してください。
  • 上記の赤い矢印の横に表示されているように、有効期限も更新するされていることに注意してください。
  • Wiresharkキャプチャ中に、フロー内に他の証明書が表示されます。Wireshark フロー内のすべての証明書をフィルタリングして見つける簡単な方法は、Wireshark でフィルターtls.handshake.type == 11を使用することです。
  • これにより、証明書を含む複数の行が表示されます。User-ID Agent 1証明書を見つけるには、各行を確認する必要があります。

上記の出力では、ユーザー ID ルート証明書のタイムスタンプが実際に有効であることを確認できます。

 Not Before: Sep 1 05:14:57 2022 GMT
 Not After : Jan 1 05:14:57 2032 GMT  <<<<< New Expiration Date  <<<<<<

注:参考までに、証明書は Wireshark からエクスポートできます。次のようにパケットの詳細で証明書項目をクリックし、 [パケット バイトのエクスポート]をクリックして、ファイルを.CERとして保存します。

Windows ファイル マネージャーでファイルを開くと、証明書が表示されます。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000scpUCAQ&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language