Comment identifier et réintégrer les collecteurs de journaux dédiés qui utilisent des certificats hérités avant la mise à niveau vers la version 11.1

Identifier les collecteurs de journaux dédiés utilisant des certificats hérités pour la communication Panorama et les réintégrer. Ceci est un prérequis pour la mise à niveau de Panorama et des collecteurs de journaux vers PAN-OS 11.1 et versions ultérieures.

1. Identifiez les collecteurs de journaux dédiés qui ont été intégrés à Panorama sur la version 10.0 ou une version antérieure et qui utilisent actuellement des certificats hérités pour la communication Panorama.
2. Réintégrez les collecteurs de journaux dédiés concernés à l'aide d'une clé d'authentification pour migrer vers les certificats actuels.
3. Vérifiez que la réintégration est réussie.

• Panorama
  • 11.0 ou inférieur
  • Planification de la mise à niveau vers la version 11.1 ou supérieure
• Collecteur de journaux
  • 11.0 ou inférieur
  • Intégré à Panorama sur 10.0 ou une version antérieure

1. Identify the Log Collectors using legacy certificates for securing Panorama communication
   1. On Panorama, issue the command:
      

      > show log-collector all

   2. Under each Log Collector entry, check the "Certificate subject Name" for one of three possible formats:
      • Serial number of LC
        • Format: Decimal number XXXXXXXXXXXX
        • Example output:
          

          012345678901 2 log-collector1 yes In Sync 10.2.10-h9 10.1.1.1 - unknown
          Certificate subject Name: 012345678910

          Result: Legacy certificate in use. Il faut remonter à bord.
      • UUID
        • Format: Hexadecimal number XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
        • Example output:
          

          012345678901 2 log-collector1 yes In Sync 10.2.10-h9 10.1.1.1 - unknown
          Certificate subject Name: 01234567-89ab-cdef-0123-456789abcdef

          Result: New certificate in use. Aucune action requise.
      • Blank
        • Example output:
          

          012345678901 2 log-collector1  yes In Sync 10.2.10-h9 10.1.1.1 - unknown
          Certificate subject Name:

          Result: This is the local log collector. Aucune action requise.
          
2. Re-onboard Log Collectors that have been identified as using legacy certificate
   1. Sur Panorama, générez une nouvelle clé d'authentification
      1. Accédez à : Panorama -> Clé d'authentification d'enregistrement de l'appareil
      2. Cliquez sur Ajouter
         1. Entrez un nom
         2. Définissez la « Durée de vie » sur une valeur supérieure à la valeur par défaut de 1 minute. Par exemple, 1 jour
         3. Définissez le « Compte » sur le nombre de collecteurs de journaux à réintégrer
         4. Définissez le « Type de périphérique » sur Collecteur de journaux
         5. Saisissez les numéros de série des collecteurs de journaux à réembarquer
         6. Cliquez sur OK
      3. Cliquez sur Copier la clé d'authentification
   2. On each Log Collector to re-onboarded
      1. Set the new Auth Key
         

         > request authkey set <authkey>

      2. Restart the Management Server
         

         > debug software restart process management-server

3. Verify that Log Collectors have re-onboarded successfully
   1. For each log collector that has been re-onboarded, on Panorama issue the command:
      

      > show log-collector <serial_number_of_log_collector>

   2. Check the "Certificate subject Name" is now in UUID format
      • Format: Hexadecimal number XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
      • Example output:
        

        012345678901 2 log-collector1 yes In Sync 10.2.10-h9 10.1.1.1 - unknown
        Certificate subject Name: 01234567-89ab-cdef-0123-456789abcdef

Cette procédure est une condition préalable à la mise à niveau de Panorama et Log Collectors vers la version 11.1 conformément au document Considérations relatives à la mise à niveau/rétrogradation .