11.1 アップグレード前にレガシー証明書を使用している専用ログコレクターを識別して再オンボードする方法

11.1 アップグレード前にレガシー証明書を使用している専用ログコレクターを識別して再オンボードする方法

3153
Created On 06/05/25 14:58 PM - Last Modified 07/11/25 19:54 PM


Objective


Panorama 通信にレガシー証明書を使用している専用ログコレクターを特定し、再オンボードします。これは、Panorama とログコレクターを PAN-OS 11.1 以降にアップグレードするための前提条件です。

  1. 10.0 以前の Panorama にオンボードされ、現在 Panorama 通信に従来の証明書を使用している専用ログ コレクターを識別します。
  2. 認証キーを使用して影響を受ける専用ログ コレクターを再オンボードし、現在の証明書に移行します。
  3. 再オンボーディングが成功したことを確認します。

Environment


  • パノラマ
    • 11.0以下
    • 11.1 以降へのアップグレードを計画中
  • ログコレクター
    • 11.0以下
    • 10.0 以前の Panorama にオンボード

Procedure


  1. Identify the Log Collectors using legacy certificates for securing Panorama communication
    1. On Panorama, issue the command:
      > show log-collector all
    2. Under each Log Collector entry, check the "Certificate subject Name" for one of three possible formats:
      • Serial number of LC
        • Format: Decimal number XXXXXXXXXXXX
        • Example output:
          012345678901 2 log-collector1 yes In Sync 10.2.10-h9 10.1.1.1 - unknown
Certificate subject Name: 012345678910
          Result: Legacy certificate in use. 再度搭乗する必要があります。
      • UUID
        • Format: Hexadecimal number XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
        • Example output:
          012345678901 2 log-collector1 yes In Sync 10.2.10-h9 10.1.1.1 - unknown
Certificate subject Name: 01234567-89ab-cdef-0123-456789abcdef
          Result: New certificate in use. 何もする必要はありません。
      • Blank
        • Example output:
          012345678901 2 log-collector1  yes In Sync 10.2.10-h9 10.1.1.1 - unknown
Certificate subject Name:
          Result: This is the local log collector. 何もする必要はありません。
  2. Re-onboard Log Collectors that have been identified as using legacy certificate
    1. Panoramaで新しい認証キーを生成する
      1. Panorama -> デバイス登録認証キーに移動します
      2. 追加をクリック
        1. 名前を入力してください
        2. 「有効期間」をデフォルトの1分よりも大きい値に設定します。例:1日
        3. 「Count」を再オンボードするログコレクターの数に設定します
        4. 「デバイスタイプ」をログコレクターに設定します
        5. 再オンボードするログコレクターのシリアル番号を入力します
        6. [Ok]をクリックします
      3. 「認証キーのコピー」をクリック
    2. On each Log Collector to re-onboarded
      1. Set the new Auth Key
        > request authkey set <authkey>
      2. Restart the Management Server
        > debug software restart process management-server
  3. Verify that Log Collectors have re-onboarded successfully
    1. For each log collector that has been re-onboarded, on Panorama issue the command:
      > show log-collector <serial_number_of_log_collector>
    2. Check the "Certificate subject Name" is now in UUID format
      • Format: Hexadecimal number XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
      • Example output:
        012345678901 2 log-collector1 yes In Sync 10.2.10-h9 10.1.1.1 - unknown
Certificate subject Name: 01234567-89ab-cdef-0123-456789abcdef



              
Additional Information

この手順は、 「アップグレード/ダウングレードの考慮事項」ドキュメントに従って Panorama およびログ コレクターを 11.1 にアップグレードするための前提条件です。




        
       
      





      

        
        
        

    

    

    

      

        
Other users also viewed:

        

             

               
              

        

    

        

        
        

          
Actions

          
    
           
            
            
            
  • 
                Print
            
    • 
            
  • 
            
    • 
            
  • 
              Copy Link
                
                
    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA1Ki000000k9oMKAQ&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail
    
            
    • 
          

        
 

        

         
        

          

            
Choose Language