So identifizieren und integrieren Sie dedizierte Protokollsammler, die vor dem Upgrade auf 11.1 ältere Zertifikate verwenden, erneut

Um dedizierte Log Collector zu identifizieren, die Legacy-Zertifikate für die Panorama-Kommunikation verwenden, und diese erneut zu integrieren. Dies ist eine Voraussetzung für das Upgrade von Panorama und Log Collector auf PAN-OS 11.1 und höher.

1. Identifizieren Sie dedizierte Protokollsammler, die in Panorama 10.0 oder früher integriert wurden und derzeit Legacy-Zertifikate für die Panorama-Kommunikation verwenden.
2. Führen Sie die Migration der betroffenen dedizierten Protokollsammler zu aktuellen Zertifikaten mithilfe eines Authentifizierungsschlüssels erneut durch.
3. Überprüfen Sie, ob das erneute Onboarding erfolgreich war.

• Panorama
  • 11.0 oder niedriger
  • Upgrade auf 11.1 oder höher planen
• Protokollsammler
  • 11.0 oder niedriger
  • Onboarding auf Panorama unter 10.0 oder niedriger

1. Identify the Log Collectors using legacy certificates for securing Panorama communication
   1. On Panorama, issue the command:
      

      > show log-collector all

   2. Under each Log Collector entry, check the "Certificate subject Name" for one of three possible formats:
      • Serial number of LC
        • Format: Decimal number XXXXXXXXXXXX
        • Example output:
          

          012345678901 2 log-collector1 yes In Sync 10.2.10-h9 10.1.1.1 - unknown
          Certificate subject Name: 012345678910

          Result: Legacy certificate in use. Muss wieder an Bord.
      • UUID
        • Format: Hexadecimal number XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
        • Example output:
          

          012345678901 2 log-collector1 yes In Sync 10.2.10-h9 10.1.1.1 - unknown
          Certificate subject Name: 01234567-89ab-cdef-0123-456789abcdef

          Result: New certificate in use. Keine Aktion erforderlich.
      • Blank
        • Example output:
          

          012345678901 2 log-collector1  yes In Sync 10.2.10-h9 10.1.1.1 - unknown
          Certificate subject Name:

          Result: This is the local log collector. Keine Aktion erforderlich.
          
2. Re-onboard Log Collectors that have been identified as using legacy certificate
   1. Auf Panorama einen neuen Auth-Schlüssel generieren
      1. Navigieren Sie zu: Panorama -> Authentifizierungsschlüssel für die Geräteregistrierung
      2. Klicken Sie auf Hinzufügen
         1. Geben Sie einen Namen ein
         2. Stellen Sie die „Lebensdauer“ auf einen Wert ein, der größer ist als der Standard(-) von 1 Minute. Beispiel: 1 Tag
         3. Stellen Sie die Anzahl der Log Collectors ein, die wieder an Bord genommen werden sollen.
         4. Stellen Sie den „Gerätetyp“ auf „Log Collector“ ein.
         5. Geben Sie die Seriennummern der Log Collectors ein, um sie wieder an Bord zu nehmen
         6. Klicken Sie auf OK
      3. Klicken Sie auf „Auth-Schlüssel kopieren“
   2. On each Log Collector to re-onboarded
      1. Set the new Auth Key
         

         > request authkey set <authkey>

      2. Restart the Management Server
         

         > debug software restart process management-server

3. Verify that Log Collectors have re-onboarded successfully
   1. For each log collector that has been re-onboarded, on Panorama issue the command:
      

      > show log-collector <serial_number_of_log_collector>

   2. Check the "Certificate subject Name" is now in UUID format
      • Format: Hexadecimal number XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
      • Example output:
        

        012345678901 2 log-collector1 yes In Sync 10.2.10-h9 10.1.1.1 - unknown
        Certificate subject Name: 01234567-89ab-cdef-0123-456789abcdef

Dieses Verfahren ist eine Voraussetzung für das Upgrade von Panorama und Log Collectors auf 11.1 gemäß dem Dokument „Upgrade-/Downgrade-Überlegungen“ .