Cómo identificar y reincorporar recopiladores de registros dedicados que utilizan certificados heredados antes de la actualización 11.1

Identificar los recopiladores de registros dedicados que utilizan certificados heredados para la comunicación con Panorama y reincorporarlos. Este es un requisito previo para actualizar Panorama y los recopiladores de registros a PAN-OS 11.1 y versiones posteriores.

1. Identifique los recopiladores de registros dedicados que se incorporaron a Panorama en la versión 10.0 o anterior y que actualmente utilizan certificados heredados para la comunicación de Panorama.
2. Vuelva a incorporar los recopiladores de registros dedicados afectados mediante una clave de autorización para migrar a los certificados actuales.
3. Verificar que la reincorporación sea exitosa.

• Panorama
  • 11.0 o inferior
  • Planificación de la actualización a 11.1 o superior
• Recolector de registros
  • 11.0 o inferior
  • Incorporado a Panorama en la versión 10.0 o anterior

1. Identify the Log Collectors using legacy certificates for securing Panorama communication
   1. On Panorama, issue the command:
      

      > show log-collector all

   2. Under each Log Collector entry, check the "Certificate subject Name" for one of three possible formats:
      • Serial number of LC
        • Format: Decimal number XXXXXXXXXXXX
        • Example output:
          

          012345678901 2 log-collector1 yes In Sync 10.2.10-h9 10.1.1.1 - unknown
          Certificate subject Name: 012345678910

          Result: Legacy certificate in use. Debe volver a embarcarse.
      • UUID
        • Format: Hexadecimal number XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
        • Example output:
          

          012345678901 2 log-collector1 yes In Sync 10.2.10-h9 10.1.1.1 - unknown
          Certificate subject Name: 01234567-89ab-cdef-0123-456789abcdef

          Result: New certificate in use. No se requiere ninguna acción
      • Blank
        • Example output:
          

          012345678901 2 log-collector1  yes In Sync 10.2.10-h9 10.1.1.1 - unknown
          Certificate subject Name:

          Result: This is the local log collector. No se requiere ninguna acción
          
2. Re-onboard Log Collectors that have been identified as using legacy certificate
   1. En Panorama generar una nueva clave de autorización
      1. Vaya a: Panorama -> Clave de autorización de registro del dispositivo
      2. Haga clic en Agregar
         1. Introduzca un nombre
         2. Establezca la "Duración" en un valor mayor que el valor valor predeterminado de 1 minuto, p. ej. 1 día.
         3. Establezca el "Conteo" en la cantidad de recopiladores de registros que desea volver a incorporar.
         4. Establezca el "Tipo de dispositivo" en Recopilador de registros
         5. Ingrese los números de serie de los recolectores de registros para volver a incorporarlos
         6. Haga clic en DE OK
      3. Haga clic en Copiar clave de autorización
   2. On each Log Collector to re-onboarded
      1. Set the new Auth Key
         

         > request authkey set <authkey>

      2. Restart the Management Server
         

         > debug software restart process management-server

3. Verify that Log Collectors have re-onboarded successfully
   1. For each log collector that has been re-onboarded, on Panorama issue the command:
      

      > show log-collector <serial_number_of_log_collector>

   2. Check the "Certificate subject Name" is now in UUID format
      • Format: Hexadecimal number XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
      • Example output:
        

        012345678901 2 log-collector1 yes In Sync 10.2.10-h9 10.1.1.1 - unknown
        Certificate subject Name: 01234567-89ab-cdef-0123-456789abcdef

Este procedimiento es un requisito previo para actualizar Panorama y Log Collectors a 11.1 según el documento Consideraciones de actualización/degradación .