如何检查用于用户 ID 代理的根证书（未使用自定义证书）

• 这些步骤将允许 TAC验证用于与 User-ID 代理通信的防火墙根证书。这是针对不使用自定义证书的默认User-ID配置。
• 默认的User-ID 代理证书是自签名证书当 Palo Alto 在 Windows 服务器上安装 User-ID Agent 软件时在其内包含新证书时，该证书将会更新。
• 例如，将用户 ID 代理升级到本文档下面列中列出的版本时“NGFW、Panorama 的最低目标升级版本”之内“表 1：PAN-OS 修补程序和更新的代理”。
• 在将用户 ID 代理升级到以下任一版本之前“最低目标升级版本”User-ID Agent证书的到期日期为：2024 年 11 月 18 日18:50:33（世界标准时间）如在运行 User-ID Agent 的 Windows 域服务器上从未修补的 User-ID Agent捕获的 Wireshark 图像所示：

• 将 User-ID 代理升级到以下某个版本后“最低目标升级版本”User-ID Agent证书的到期日期为：2032 年 1 月 1 日 04:00:00 UTC。
• 参考程序下面的部分详细介绍了更新后的用户 ID证书的外观以及验证步骤。

• Palo Alto 防火墙
• PANOS 10.1 及以上版本
• 用户 ID 代理

步骤1

Windows 服务器设置捕获“主机' 其中 IP 是用于与User-ID 代理进行通信的防火墙接口的 IP。在此示例中，我们使用了防火墙接口IP 10.22.3.5，因此 Wireshark 过滤器将是“主机 10.22.3.5” ：

步骤 2

当用户 ID 代理重新连接到防火墙时，需要执行此步骤来强制进行新的TLS握手，以便在 Wireshark捕获中捕获证书

笔记：重新启动用户 ID 代理服务可能会导致短暂中断。如果需要，请在维护时段内执行此操作。

接下来重新启动 User-ID Agent 以强制与防火墙建立新连接，以便在TLS/ SSL握手中捕获证书。首先单击“停止”，然后单击“开始” （在 Wireshark捕获正在运行时）：

步骤 3

要在 Wireshark 中的“最低目标升级版本”之一上显示 User-ID 代理证书详细信息，重新启动 User-ID 代理（从上面的步骤 2 开始）后，将能够找到并显示证书详细信息，如下所示，并验证 User-ID 代理证书已更新：

笔记：

• 请注意，新证书的Common Name(通用名-CN)现在是：“User-ID Agent 1”。
• 请注意，到期日期也已更新，如上方红色箭头所示。
• 在 Wireshark捕获过程中，流中将出现其他证书。过滤和查找 Wireshark 流中的所有证书的简单方法是使用 Wireshark 中的过滤器tls.handshake.type == 11 。
• 这将显示多行包含证书的内容。您需要检查每一行以找到 User-ID Agent 1证书：

在上面的输出中，我们现在可以验证用户 ID 根证书的时间戳是否确实有效：

 Not Before: Sep 1 05:14:57 2022 GMT
 Not After : Jan 1 05:14:57 2032 GMT  <<<<< New Expiration Date  <<<<<<

注意：作为参考，可以从 Wireshark 导出证书，方法是右键单击“数据包详细信息”中的证书项（如下所示），然后单击“导出数据包字节” ，然后将文件另存为.CER

现在可以通过在 Windows 文件管理器中打开文件来显示证书：