¿Qué está cambiando?
El 31 de diciembre de 2023, el certificado raíz y el certificado predeterminado para los firewalls y dispositivos de Palo Alto Networks que ejecutan el software PAN-OS expiraron. Si sus certificados no se renovaron antes de esta fecha, sus firewalls y dispositivos Panorama ya no podrán establecer nuevas conexiones a los servicios en la nube de Palo Alto Networks, lo que puede afectar el tráfico de la red y potencialmente causar una interrupción cuando las conexiones existentes finalicen e intenten volver a conectarse.
| tipo de certificado | Fecha de vencimiento actual | Fecha de vencimiento después de la actualización |
| raíz | 31-dic-2023 a las 14:47:47 2023 GMT | 01-ene-2032 a las 05:14:57 2032 GMT |
| por defecto | 31-dic-2023 a las 20:14:14 2023 GMT | 01-ene-2032 a las 07:30:33 2032 GMT |
Versiones de actualización de destino
La siguiente tabla contiene las versiones de actualización de destino para el escenario 1a y el escenario 2b.
| Versión actual de PAN-OS | Actualizar la versión de destino |
| 8.1 | 8.1.21-h28.1.25-h1 o mayor |
| 9.0 | 9.0.16-h5 o mayor |
| 9.1 | 9.1.11-h49.1.12-h69.1.13-h49.1.14-h79.1.16-h3 9.1.17 o superior |
| 10.0 | 10.0.8-h1010.0.11-h310.0.12-h3 o mayor |
| 10.1 | 10.1.3-h210.1.5-h310.1.6-h710.1.8-h610.1.9-h310.1.10 o superior |
| 10.2 | 10.2.3-h910.2.4 o superior |
| 11.0 | 11.0.0-h111.0.1-h211.0.2 o superior |
| 11.1 | 11.1.0 o superior |
Todas las versiones de revisiones se han publicado para dispositivos de nube privada (serie M) Firewalls, Panorama, WF500/B y URL Pan-DB. Para dispositivos de nube privada (serie M) WF500/B y URL Pan-DB específicamente, utilice las siguientes versiones de revisión: 8.1.25-h2, 9.0.16-h6, 9.1.16-h4, 10.0.12-h4, 10.1.11-h3, 10.2.7-h1, 11.0.3-h1 y 11.1.0-h1
Acción requerida:
Deberá completar las acciones apropiadas como se describe en uno o ambos de los escenarios siguientes, según los servicios que esté utilizando. Evalúe si estos certificados que caducan afectan sus firewalls, dispositivos Panorama o servicios conectados según las consideraciones a continuación y tome las medidas necesarias cuando corresponda.
Escenario 1
Si es un cliente con redistribución de datos (ID de usuario, etiqueta IP, etiqueta de usuario, GlobalProtect HIP y/o lista de cuarentena), deberá realizar una de las dos acciones siguientes: (1a) actualizar sus firewalls afectados, y Panorama ( modos de administración y recopilador de registros ), O (1b) implementar certificados personalizados en los firewalls afectados, y Panorama ( modos de administración y recopilador de registros ).
Si es cliente de una nube privada URL PAN-DB (Serie M) o un dispositivo de nube privada WildFire (WF500/B) , deberá realizar la siguiente acción: (1a) actualizar sus firewalls afectados, WF-500, M-Series y Panorama ( modos de administración y recopilador de registros ).
- 1a) Actualice sus firewalls afectados, WF-500, M-Series y Panorama
- Si no tiene certificados personalizados instalados, debe actualizar todos sus firewalls, WF-500, M-Series y Panoramas ( modos de administración y recopilador de registros ) que participan en la redistribución de datos (ID de usuario, etiqueta IP, etiqueta, GlobalProtect HIP y/o lista de cuarentena), URL de nube privada PAN-DB (Serie M) y/o nube privada WildFire (WF500/B) a una de las versiones de PAN-OS en la tabla de versión de actualización de destino anterior .
- Los clientes deben actualizar su dispositivo WF-500/B a las versiones que se mencionan a continuación:
- Publicado: 8.1.25-h2, 9.0.16-h6, 9.1.16-h4, 10.0.12-h4, 10.1.11-h3, 10.2.7-h1, 11.0.3-h1, 11.1.0-h1
- Publicado: 8.1.25-h2, 9.0.16-h6, 9.1.16-h4, 10.0.12-h4, 10.1.11-h3, 10.2.7-h1, 11.0.3-h1, 11.1.0-h1
- Los clientes deben actualizar sus dispositivos de nube privada URL PAN-DB (Serie M) a las versiones que se mencionan a continuación:
- Publicado: 8.1.25-h2, 9.0.16-h6, 9.1.16-h4, 10.0.12-h4, 10.1.11-h3, 10.2.7-h1, 11.0.3-h1, 11.1.0-h1
- Publicado: 8.1.25-h2, 9.0.16-h6, 9.1.16-h4, 10.0.12-h4, 10.1.11-h3, 10.2.7-h1, 11.0.3-h1, 11.1.0-h1
- Si no tiene certificados personalizados instalados, debe actualizar todos sus firewalls, WF-500, M-Series y Panoramas ( modos de administración y recopilador de registros ) que participan en la redistribución de datos (ID de usuario, etiqueta IP, etiqueta, GlobalProtect HIP y/o lista de cuarentena), URL de nube privada PAN-DB (Serie M) y/o nube privada WildFire (WF500/B) a una de las versiones de PAN-OS en la tabla de versión de actualización de destino anterior .
- 1b) Implemente certificados personalizados en sus firewalls afectados y Panorama
- Redistribución de datos (ID de usuario, etiqueta IP, etiqueta de usuario, GlobalProtect HIP y lista de cuarentena) : si todos los firewalls y dispositivos Panorama de su red ejecutan PAN-OS versión 10.0 o una versión posterior y no redistribuyen datos ni desde Prisma Access, puede cambiar a certificados personalizados en lugar de utilizar certificados raíz para la redistribución de datos.
- Todos los firewalls y Panorama involucrados como clientes y servidores para la redistribución de datos deben recibir el certificado personalizado.
- Todos los agentes de ID de usuario de Windows conectados a los firewalls y a Panorama involucrados en la redistribución de datos deben recibir el certificado personalizado.
- Para obtener información sobre la configuración de certificados personalizados para la redistribución de datos, consulte las instrucciones en la Guía del administrador de PAN-OS (pasos 8 y 9).
Importante :- Planificación de actualizaciones: es fundamental planificar cuidadosamente cualquier actualización posterior al vencimiento del certificado. Una actualización de un agente de redistribución puede afectar a los clientes conectados; por lo tanto, recomendamos actualizar todos los dispositivos (clientes) conectados al mismo agente.
- Riesgos de las sesiones en curso: después del 31 de diciembre de 23, es importante tener en cuenta que no hay tiempos de espera en las sesiones de redistribución que puedan provocar que fallen. Todas las sesiones que se ejecutan con certificados caducados continuarán, pero corren el riesgo de fallar debido a interrupciones de la red, reinicios de procesos, cambios de configuración relacionados que se confirmen o actualizaciones de PAN-OS; por lo tanto, recomendamos que las actualizaciones del dispositivo se realicen durante una ventana de mantenimiento.
- Debe cambiar a certificados personalizados tanto en el agente de redistribución de datos como en el cliente para comunicaciones seguras entre el servidor y el cliente.
- Debe cambiar a certificados personalizados en los agentes de ID de usuario de Windows para comunicaciones seguras con el cliente.
- Al pasar a certificados personalizados, tendrá un período en el que el agente de ID de usuario no podrá comunicarse con el firewall o Panorama al que está conectado. Para minimizar ese tiempo, asegúrese de que la cuenta de servicio en Windows Server que ejecuta el servicio del agente de ID de usuario tenga los permisos adecuados antes de migrar a certificados personalizados.
- Siga este artículo de KB para obtener más información sobre los pasos de preparación y cómo aplicar los certificados personalizados.
- Si utiliza la redistribución de datos entre firewalls y Prisma Access, también debe aplicar una revisión o actualizar sus firewalls afectados, ya que Prisma Access no admite certificados personalizados. No necesita realizar cambios en Prisma Access; solo necesita actualizar sus firewalls a una versión de actualización específica.
- Redistribución de datos (ID de usuario, etiqueta IP, etiqueta de usuario, GlobalProtect HIP y lista de cuarentena) : si todos los firewalls y dispositivos Panorama de su red ejecutan PAN-OS versión 10.0 o una versión posterior y no redistribuyen datos ni desde Prisma Access, puede cambiar a certificados personalizados en lugar de utilizar certificados raíz para la redistribución de datos.
- Nube privada WildFire (WF500/B) : los certificados personalizados no son una opción.
- Nube privada URL PAN-DB (Serie M) : los certificados personalizados no son una opción.
Escenario 2
Si es cliente de la nube pública WildFire, la nube pública Advanced WildFire , el filtrado de URL, el filtrado avanzado de URL , la seguridad DNS , Threat Vault o AutoFocus , debe realizar una de las siguientes tres acciones ahora que el certificado ha caducado: (2a) instale una actualización de contenido específica en sus firewalls y dispositivos Panorama afectados O (2b) actualice sus firewalls y dispositivos Panorama afectados O (2c) habilite los certificados de dispositivo en sus firewalls y dispositivos Panorama afectados.
- 2a) Instale una actualización de contenido específica en sus firewalls y dispositivos Panorama afectados .
Debe instalar la siguiente versión de actualización de contenido (8776-8390 o posterior) en sus firewalls y Panorama.- Si tienes configurado el contenido automático, esta actualización será automática
- Si actualiza manualmente su contenido, actualice su contenido a la versión de contenido anterior
- 2b) Actualice sus firewalls afectados y Panorama
Actualice su firewall y Panorama a una de las versiones de PAN-OS en las versiones de actualización de destino mencionadas anteriormente.
- 2c) Habilite el Certificado de dispositivo en sus firewalls afectados y Panorama
- Si tiene firewalls y dispositivos Panorama que ejecutan PAN-OS 8.1, PAN-OS 9.0 o PAN-OS 9.1, no recomendamos que utilice esta opción.
- Si tiene firewalls y dispositivos Panorama que ejecutan PAN-OS 10.0.5, PAN-OS 10.1.10, PAN-OS 10.2.5 o PAN-OS 11.0.2 o cualquier versión o lanzamiento posterior, siga las instrucciones para habilitar el dispositivo. Certificado .
PanOS 9.1 dejará de ser compatible con el 12 de diciembre de 2023. ¿Seguirá siendo compatible con PanOS después de esa fecha?
Para los clientes con Pan-OS 9.1, que tiene una fecha de soporte de fin de vida (EoL) del 13 de diciembre de 2023, ampliaremos el soporte para todos los clientes hasta el 31 de marzo de 2024. Esto ahora se refleja en nuestro fin de vida útil. Página de resumen .
¿Mi implementación de Prisma Access se ve afectada por esta actualización de emergencia?
Si utiliza la redistribución de datos entre los firewalls y Prisma Access, debe aplicar una revisión o actualizar los firewalls afectados. No es necesario realizar cambios en Prisma Access; solo necesita actualizar sus firewalls a una versión de actualización específica porque este aviso al cliente no afecta el servicio Prisma Access.
¿Cuál será el impacto en mi red si no actualizo mis firewalls y Panorama a una de las versiones (arriba) antes del 31 de diciembre de 2023?
Para el escenario 1:
- Si no actualiza sus firewalls y dispositivos Panorama afectados antes del 31 de diciembre de 2023, sus firewalls y dispositivos Panorama ya no podrán establecer nuevas conexiones para la redistribución de datos (ID de usuario, etiqueta IP, etiqueta de usuario, GlobalProtect HIP, o lista de cuarentena),
- Dispositivos de nube privada URL PAN-DB (Serie M) o dispositivos de nube privada WildFire (WF-500 o WF-500-B) : si sus conexiones existentes finalizan (por ejemplo, cuando realiza cambios en la red o la configuración o experimenta algún evento de red imprevisto). ), experimentará una interrupción de los servicios afectados cuando no puedan volver a conectarse debido a certificados vencidos.
Para el escenario 2:
Si no completa las acciones recomendadas anteriormente antes del 31 de diciembre de 2023, sus servicios de nube pública WildFire, nube pública Advanced WildFire , filtrado de URL, filtrado de URL avanzado , seguridad DNS , Threat Vault y AutoFocus ya no podrán establecer nuevas conexiones. después de esa fecha.
¿Cómo puedo verificar mis firewalls y Panorama para asegurarme de que tengan el nuevo certificado raíz que vence el 1 de enero de 2032?
No existe una forma directa de ver el certificado real. Según los escenarios descritos anteriormente, si sus firewalls y Panorama ejecutan cualquiera de las versiones de PAN-OS específicas enumeradas anteriormente (o una versión posterior), o ejecutan la versión de contenido requerida, entonces tendrá instalado el nuevo certificado raíz y predeterminado.
¿Qué versión de PAN-OS debo seleccionar en la tabla para Actualizar versión de destino?
Le recomendamos que actualice a la última revisión para la versión principal/menor de PAN-OS específica que está ejecutando actualmente, es decir, si actualmente está usando 9.1.11, seleccione 9.1.11-h4 o la siguiente versión superior más cercana (actual: 9.1 .5 al objetivo 9.1.11-h4). No es necesario ni recomendado actualizar a una versión principal solo para actualizar los certificados, por ejemplo: no es necesario actualizar de 10.1.X a 10.2.Y, sino que debe seleccionar una revisión 10.1.X.
¿Cómo puedo determinar si mis firewalls y Panoramas están configurados con certificados personalizados?
Los certificados personalizados para la redistribución de datos (ID de usuario, etiqueta IP, etiqueta de usuario, GlobalProtect HIP y/o lista de cuarentena) se admiten a partir de PAN-OS 10.0 y versiones superiores. Puede verificar si está utilizando certificados predeterminados/personalizados para la redistribución de datos utilizando los siguientes comandos.
Agente de Redistribución
[email protected]> show redistribution service status
Redistribution info:
Redistribution service: up
listening port: 5007
SSL config: Custom certificates
back pressure is: off
number of clients: 2
Cliente de redistribución
[email protected]> show redistribution agent state all
Agent: 92-uid-Agent(vsys: vsys1) Host: 10.46.196.49(10.46.196.49):5007
Status : conn:idle
Version : 0x6
SSL config: : Custom certificates
num of connection tried : 1Los certificados personalizados para la nube privada WildFire (WF-500 o WF-500-B) están disponibles a partir de PAN-OS 8.1 y todas las versiones posteriores.
Verificación de certificado desde PAN-OS CLI:
dmin@sjc-bld-smk01-esx13-t2-pavm02> show wildfire status channel private
…
Secure Connection: Custom Trusted CA, Custom Client Certificate
…Para la redistribución de datos (ID de usuario, etiqueta IP, etiqueta de usuario, GlobalProtect HIP y/o lista de cuarentena), ¿en qué orden debo actualizar?
- Hasta el 31 de diciembre de 2023, el agente de redistribución y el cliente de redistribución pueden ejecutar versiones diferentes y seguir conectándose y comunicándose correctamente.
- No necesita actualizar todos sus firewalls y dispositivos Panorama simultáneamente, pero debe comenzar con las actualizaciones de sus dispositivos Panorama y luego actualizar sus firewalls.
- El 31 de diciembre de 2023, todos sus firewalls y dispositivos Panorama deben ejecutar una de las versiones específicas para que su red continúe conectándose y comunicándose exitosamente y compartiendo asignaciones y etiquetas como se esperaba.
¿La caducidad de este certificado afecta la comunicación entre los firewalls y los agentes de ID de usuario o Terminal Server de Windows o entre los firewalls y los dispositivos Panorama?
Si elige remediar el escenario 1 mediante el uso de certificados personalizados, deberá agregar esos certificados personalizados al agente de ID de usuario de Windows. Esto no afecta a los agentes de Terminal Server. Revise la solución b del escenario 1 para obtener más información.
En la corrección del escenario 1 y en todas las correcciones del escenario 2, no hay ningún impacto en la comunicación entre los firewalls y los agentes de User-ID y Terminal Server.
¿Por qué veo una notificación emergente incluso cuando he tomado las medidas necesarias para evitar este problema?
El mensaje se transmite a todos los dispositivos independientemente de la versión o las acciones realizadas y seguirá mostrándose hasta que haga clic en la casilla de verificación en la parte inferior izquierda de la ventana emergente que dice No mostrar de nuevo (esta casilla de verificación se guarda por usuario, no por sistema, por lo que cada administrador con sus propias credenciales deberá seleccionarlo para su propia cuenta).
Si todas las acciones correctivas se han tomado adecuadamente, es seguro ignorar la notificación.
¿Existe alguna herramienta que pueda utilizar para determinar si este problema de certificado me afecta?
Aproveche la herramienta Self Impact Discovery en: https://github.com/PaloAltoNetworks/redist-check/tree/main si tiene algún problema con la herramienta, infórmelo en GitHub aquí: https://github.com/PaloAltoNetworks/ redist-check/problemas
