사용자 정의 인증서가 사용 중이 아닌 경우 사용자 ID 에이전트에 사용된 루트 인증서를 확인하는 방법

사용자 정의 인증서가 사용 중이 아닌 경우 사용자 ID 에이전트에 사용된 루트 인증서를 확인하는 방법

10322
Created On 09/25/24 16:32 PM - Last Modified 12/27/24 09:52 AM


Objective


  • 이러한 단계를 통해 TAC는 사용자 ID 에이전트와 통신하는 데 사용되는 방화벽의 루트 인증 확인할 수 있습니다. 이는 사용자 지정 인증서를 사용하지 않는 디폴트 사용자 ID 구성 위한 것입니다.
  • 디폴트 User-ID 에이전트 인증 다음과 같습니다.Self-Signed CertificateWindows 서버에 Palo Alto의 User-ID Agent 소프트웨어를 설치하면 새 인증 포함되고 업데이트됩니다.
  • 이에 대한 예로는 아래 문서 의 열 아래에 나열된 버전으로 User-ID 에이전트를 업그레이드하는 경우가 있습니다.'NGFW, Panorama를 위한 최소 타겟 업그레이드 버전'이내에'표 1: PAN-OS 핫픽스 및 업데이트된 에이전트'.
  • User-ID 에이전트를 다음 중 하나로 업그레이드하기 전에'최소 대상 업그레이드 버전'User-ID Agent 인증 의 만료 날짜는 다음과 같습니다.2024년 11월 18일18:50:33 UTCUser-ID Agent를 실행하는 Windows 도메인 서버에서 패치되지 않은 User-ID Agent를 캡처 Wireshark에서 볼 수 있듯이:

  • User-ID Agent를 다음 중 하나로 업그레이드한 후'최소 대상 업그레이드 버전'User-ID Agent 인증 의 만료 날짜는 다음과 같습니다.2032년 1월 1일 04:00:00 UTC.
  • 나타내다절차아래 섹션에서는 업데이트된 사용자 ID 인증 의 세부 정보와 확인 단계를 설명합니다.

Environment


  • 팔로 알토 방화벽
  • PANOS 10.1 이상
  • 사용자 ID 에이전트

Procedure


1단계

Windows 서버 자체에서 'host' 필터를 사용하여 Wireshark 캡처 셋업 . ' 여기서 IP는 User-ID 에이전트 와 통신하는 데 사용되는 방화벽 인터페이스 의 IP입니다. 이 예에서 방화벽 인터페이스 IP인 10.22.3.5를 사용했으므로 Wireshark 필터는 'host 10.22.3.5' 가 됩니다.

이미지 1


이미지 2


2단계

이 단계는 사용자 ID 에이전트가 방화벽에 다시 연결할 때 Wireshark 캡처 에서 인증 잡기 위해 새로운 TLS 핸드셰이크를 강제로 실행하는 데 필요합니다.

메모:사용자 ID 에이전트 서비스를 다시 시작하면 잠시 중단될 수 있습니다. 필요한 경우 유지 관리 기간 동안 작업을 수행합니다.

다음으로 User-ID Agent를 다시 시작하여 방화벽 에 대한 새 연결을 강제로 실행하여 TLS/ SSL 핸드셰이크에서 인증 캡처 . 먼저 '중지'를 클릭한 다음 '시작'을 클릭합니다(Wireshark 캡처 실행되는 동안):

이미지 4

3단계

Wireshark에서 '최소 대상 업그레이드 버전' 중 하나에 대한 User-ID 에이전트 인증 세부 정보를 표시하려면 User-ID 에이전트를 재시작한 후(위의 2단계에서) 아래에서 볼 수 있듯이 인증 세부 정보를 찾아 표시하고 User-ID 에이전트 인증 업데이트되었는지 확인할 수 있습니다.

메모:

  • 새 인증 의 Common Name (CN) 이 이제 'User-ID Agent 1'로 변경되었습니다.
  • 위의 빨간색 화살표 옆에 보이듯이 만료 날짜도 업데이트하다 되었습니다.
  • Wireshark 캡처 ​​중에 흐름에서 다른 인증서가 보일 것입니다. Wireshark 흐름에서 모든 인증서를 필터링하고 찾는 쉬운 방법은 Wireshark에서 tls.handshake.type == 11 필터를 사용할 수 있습니다.
  • 이렇게 하면 인증서가 있는 여러 줄이 표시됩니다. 각 줄을 확인하여 User-ID Agent 1 인증 찾아야 합니다.

위의 출력에서 이제 사용자 ID 루트 인증서의 타임스탬프가 실제로 유효한지 확인할 수 있습니다.

 Not Before: Sep 1 05:14:57 2022 GMT
 Not After : Jan 1 05:14:57 2032 GMT  <<<<< New Expiration Date  <<<<<<

참고: 참고로, 아래에서 볼 수 있듯이 패킷 세부 정보에서 인증 항목을 마우스 오른쪽 버튼 으로 클릭하고 패킷 바이트 내보내기를 클릭한 다음 파일을 .CER 로 저장하여 Wireshark에서 인증 내보낼 수 있습니다.

이제 Windows 파일 관리자에서 파일을 열어 인증 표시할 수 있습니다.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000scpUCAQ&lang=ko&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language