{"id":511,"date":"2024-02-23T15:02:55","date_gmt":"2024-02-23T15:02:55","guid":{"rendered":"https:\/\/ngeek.net\/?p=511"},"modified":"2024-03-18T17:24:48","modified_gmt":"2024-03-18T17:24:48","slug":"caducidad-del-certificado-raiz-de-pan-os","status":"publish","type":"post","link":"https:\/\/ngeek.net\/es\/2024\/02\/caducidad-del-certificado-raiz-de-pan-os\/","title":{"rendered":"Caducidad del certificado ra\u00edz de PAN-OS"},"content":{"rendered":"\n<h3 class=\"wp-block-heading\" id=\"toc-hId-1539621373\">\u00bf<strong>Qu\u00e9 est\u00e1 cambiando<\/strong>?<\/h3>\n\n\n\n<p>El 31 de diciembre de 2023, el certificado ra\u00edz y el certificado predeterminado para los firewalls y dispositivos de Palo Alto Networks que ejecutan el software PAN-OS expiraron.&nbsp;Si sus certificados no se renovaron antes de esta fecha, sus firewalls y dispositivos Panorama ya no podr\u00e1n establecer nuevas conexiones a los servicios en la nube de Palo Alto Networks, lo que puede afectar el tr\u00e1fico de la red y potencialmente causar una interrupci\u00f3n cuando las conexiones existentes finalicen e intenten volver a conectarse.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img fetchpriority=\"high\" decoding=\"async\" width=\"750\" height=\"500\" src=\"https:\/\/ngeek.net\/wp-content\/uploads\/2024\/03\/advertencia-con-firewall.webp\" alt=\"\" class=\"wp-image-692\" srcset=\"https:\/\/ngeek.net\/wp-content\/uploads\/2024\/03\/advertencia-con-firewall.webp 750w, https:\/\/ngeek.net\/wp-content\/uploads\/2024\/03\/advertencia-con-firewall-300x200.webp 300w\" sizes=\"(max-width: 750px) 100vw, 750px\" \/><\/figure>\n\n\n\n<figure class=\"wp-block-table\"><table><tbody><tr><td>tipo de certificado<\/td><td>Fecha de vencimiento actual<\/td><td>Fecha de vencimiento despu\u00e9s de la actualizaci\u00f3n<\/td><\/tr><tr><td>ra\u00edz<\/td><td>31-dic-2023 a las 14:47:47 2023 GMT<\/td><td>01-ene-2032 a las 05:14:57 2032 GMT<\/td><\/tr><tr><td>por defecto<\/td><td>31-dic-2023 a las 20:14:14 2023 GMT<\/td><td>01-ene-2032 a las 07:30:33 2032 GMT<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"toc-hId--1012535588\"><strong><br>Versiones de actualizaci\u00f3n de destino<\/strong><\/h3>\n\n\n\n<p>La siguiente tabla contiene las versiones de actualizaci\u00f3n de destino para el escenario 1a y el escenario 2b.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><tbody><tr><td><strong>Versi\u00f3n actual de PAN-OS<\/strong><\/td><td><strong>Actualizar la versi\u00f3n de destino<\/strong><\/td><\/tr><tr><td>8.1<\/td><td>8.1.21-h28.1.25-h1 o mayor<\/td><\/tr><tr><td>9.0<\/td><td>9.0.16-h5 o mayor<\/td><\/tr><tr><td>9.1<\/td><td>9.1.11-h49.1.12-h69.1.13-h49.1.14-h79.1.16-h3&nbsp;9.1.17 o superior<\/td><\/tr><tr><td>10.0<\/td><td>10.0.8-h1010.0.11-h310.0.12-h3 o mayor<\/td><\/tr><tr><td>10.1<\/td><td>10.1.3-h210.1.5-h310.1.6-h710.1.8-h610.1.9-h310.1.10 o superior<\/td><\/tr><tr><td>10.2<\/td><td>10.2.3-h910.2.4 o superior<\/td><\/tr><tr><td>11.0<\/td><td>11.0.0-h111.0.1-h211.0.2 o superior<\/td><\/tr><tr><td>11.1<\/td><td>11.1.0 o superior<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p>Todas las versiones de revisiones se han publicado para dispositivos de nube privada (serie M) Firewalls, Panorama, WF500\/B y URL Pan-DB.&nbsp;Para dispositivos de nube privada (serie M) WF500\/B y URL Pan-DB espec\u00edficamente, utilice las siguientes versiones de revisi\u00f3n:&nbsp;&nbsp;<strong>8.1.25-h2, 9.0.16-h6, 9.1.16-h4, 10.0.12-h4, 10.1.11-h3, 10.2.7-h1, 11.0.3-h1 y 11.1.0-h1<br><\/strong><\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"toc-hId-730274747\"><strong>Acci\u00f3n requerida:<\/strong><\/h3>\n\n\n\n<p>Deber\u00e1 completar las acciones apropiadas como se describe en uno o ambos de los escenarios siguientes, seg\u00fan los servicios que est\u00e9 utilizando.&nbsp;Eval\u00fae si estos certificados que caducan afectan sus firewalls, dispositivos Panorama o servicios conectados seg\u00fan las consideraciones a continuaci\u00f3n y tome las medidas necesarias cuando corresponda.<br><\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"toc-hId--1821882214\">Escenario 1<\/h3>\n\n\n\n<p>Si es un cliente con&nbsp;<a href=\"https:\/\/docs.paloaltonetworks.com\/pan-os\/10-1\/pan-os-admin\/user-id\/deploy-user-id-in-a-large-scale-network\/redistribute-user-mappings-and-authentication-timestamps\/configure-user-id-redistribution\" target=\"_blank\" rel=\"noreferrer noopener\">redistribuci\u00f3n de datos<\/a>&nbsp;(ID de usuario, etiqueta IP, etiqueta de usuario, GlobalProtect HIP y\/o lista de cuarentena), deber\u00e1 realizar una de las dos acciones siguientes: (1a) actualizar sus firewalls afectados, y Panorama ( modos&nbsp;<a href=\"https:\/\/docs.paloaltonetworks.com\/panorama\/9-1\/panorama-admin\/manage-firewalls\" target=\"_blank\" rel=\"noreferrer noopener\">de administraci\u00f3n<\/a>&nbsp;y&nbsp;<a href=\"https:\/\/docs.paloaltonetworks.com\/panorama\/9-1\/panorama-admin\/manage-log-collection\/configure-a-managed-collector\" target=\"_blank\" rel=\"noreferrer noopener\">recopilador de registros<\/a>&nbsp;), O (1b) implementar&nbsp;<a href=\"https:\/\/docs.paloaltonetworks.com\/panorama\/11-1\/panorama-admin\/set-up-panorama\/set-up-authentication-using-custom-certificates\" target=\"_blank\" rel=\"noreferrer noopener\">certificados personalizados<\/a>&nbsp;en los firewalls afectados, y Panorama ( modos&nbsp;<a href=\"https:\/\/docs.paloaltonetworks.com\/panorama\/9-1\/panorama-admin\/manage-firewalls\" target=\"_blank\" rel=\"noreferrer noopener\">de administraci\u00f3n<\/a>&nbsp;y&nbsp;<a href=\"https:\/\/docs.paloaltonetworks.com\/panorama\/9-1\/panorama-admin\/manage-log-collection\/configure-a-managed-collector\" target=\"_blank\" rel=\"noreferrer noopener\">recopilador de registros<\/a>&nbsp;).<a href=\"https:\/\/docs.paloaltonetworks.com\/pan-os\/10-1\/pan-os-admin\/user-id\/deploy-user-id-in-a-large-scale-network\/redistribute-user-mappings-and-authentication-timestamps\/configure-user-id-redistribution\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a><a href=\"https:\/\/docs.paloaltonetworks.com\/panorama\/9-1\/panorama-admin\/manage-firewalls\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a><a href=\"https:\/\/docs.paloaltonetworks.com\/panorama\/9-1\/panorama-admin\/manage-log-collection\/configure-a-managed-collector\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a><a href=\"https:\/\/docs.paloaltonetworks.com\/panorama\/11-1\/panorama-admin\/set-up-panorama\/set-up-authentication-using-custom-certificates\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a><a href=\"https:\/\/docs.paloaltonetworks.com\/panorama\/9-1\/panorama-admin\/manage-firewalls\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a><a href=\"https:\/\/docs.paloaltonetworks.com\/panorama\/9-1\/panorama-admin\/manage-log-collection\/configure-a-managed-collector\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a><\/p>\n\n\n\n<p><br>Si es cliente de&nbsp;<a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-url-filtering\/administration\/pan-db-private-cloud-overview\" target=\"_blank\" rel=\"noreferrer noopener\">una nube privada URL PAN-DB (Serie M)<\/a>&nbsp;o&nbsp;<a href=\"https:\/\/www.paloaltonetworks.com\/products\/secure-the-network\/subscriptions\/wf-500-wildfire-appliance\" target=\"_blank\" rel=\"noreferrer noopener\">un dispositivo de nube privada WildFire (WF500\/B)<\/a>&nbsp;, deber\u00e1 realizar la siguiente acci\u00f3n: (1a) actualizar sus firewalls afectados, WF-500, M-Series y Panorama ( modos&nbsp;<a href=\"https:\/\/docs.paloaltonetworks.com\/panorama\/9-1\/panorama-admin\/manage-firewalls\" target=\"_blank\" rel=\"noreferrer noopener\">de administraci\u00f3n<\/a>&nbsp;y&nbsp;<a href=\"https:\/\/docs.paloaltonetworks.com\/panorama\/9-1\/panorama-admin\/manage-log-collection\/configure-a-managed-collector\" target=\"_blank\" rel=\"noreferrer noopener\">recopilador de registros<\/a>&nbsp;).<br><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>1a) Actualice sus firewalls afectados, WF-500, M-Series y Panorama<br>\n<ol class=\"wp-block-list\">\n<li>Si no tiene certificados personalizados instalados, debe actualizar todos sus firewalls, WF-500, M-Series y Panoramas ( modos&nbsp;<a href=\"https:\/\/docs.paloaltonetworks.com\/panorama\/9-1\/panorama-admin\/manage-firewalls\" target=\"_blank\" rel=\"noreferrer noopener\">de administraci\u00f3n<\/a>&nbsp;y&nbsp;<a href=\"https:\/\/docs.paloaltonetworks.com\/panorama\/9-1\/panorama-admin\/manage-log-collection\/configure-a-managed-collector\" target=\"_blank\" rel=\"noreferrer noopener\">recopilador de registros<\/a>&nbsp;) que participan en la redistribuci\u00f3n de datos (ID de usuario, etiqueta IP, etiqueta, GlobalProtect HIP y\/o lista de cuarentena), URL de nube privada PAN-DB (Serie M) y\/o nube privada WildFire (WF500\/B) a una de las versiones de PAN-OS en la tabla de versi\u00f3n de actualizaci\u00f3n de destino&nbsp;&nbsp;anterior .<br><\/li>\n\n\n\n<li>Los clientes deben actualizar su dispositivo WF-500\/B a las versiones que se mencionan a continuaci\u00f3n:\n<ol class=\"wp-block-list\">\n<li><strong>Publicado<\/strong>: 8.1.25-h2, 9.0.16-h6, 9.1.16-h4, 10.0.12-h4, 10.1.11-h3, 10.2.7-h1, 11.0.3-h1, 11.1.0-h1<br><\/li>\n<\/ol>\n<\/li>\n\n\n\n<li>Los clientes deben actualizar sus dispositivos de nube privada URL PAN-DB (Serie M) a las versiones que se mencionan a continuaci\u00f3n:\n<ol class=\"wp-block-list\">\n<li><strong>Publicado<\/strong>: 8.1.25-h2, 9.0.16-h6, 9.1.16-h4, 10.0.12-h4, 10.1.11-h3, 10.2.7-h1, 11.0.3-h1, 11.1.0-h1<br><\/li>\n<\/ol>\n<\/li>\n<\/ol>\n<\/li>\n\n\n\n<li>1b) Implemente&nbsp;<a href=\"https:\/\/docs.paloaltonetworks.com\/panorama\/11-1\/panorama-admin\/set-up-panorama\/set-up-authentication-using-custom-certificates\" target=\"_blank\" rel=\"noreferrer noopener\">certificados personalizados<\/a>&nbsp;en sus firewalls afectados y Panorama<br>\n<ul class=\"wp-block-list\">\n<li><strong>Redistribuci\u00f3n de datos (ID de usuario, etiqueta IP, etiqueta de usuario, GlobalProtect HIP y lista de cuarentena)&nbsp;<\/strong>: si todos los firewalls y dispositivos Panorama de su red ejecutan PAN-OS versi\u00f3n 10.0 o una versi\u00f3n posterior y no redistribuyen datos ni desde Prisma Access, puede cambiar a certificados personalizados en lugar de utilizar certificados ra\u00edz para la redistribuci\u00f3n de datos.&nbsp;<br><\/li>\n\n\n\n<li>Todos los firewalls y Panorama involucrados como clientes y servidores para la redistribuci\u00f3n de datos deben recibir el certificado personalizado.<br><\/li>\n\n\n\n<li>Todos los agentes de ID de usuario de Windows conectados a los firewalls y a Panorama involucrados en la redistribuci\u00f3n de datos deben recibir el certificado personalizado.<br><\/li>\n\n\n\n<li>Para obtener informaci\u00f3n sobre la configuraci\u00f3n de certificados personalizados para la redistribuci\u00f3n de datos, consulte las&nbsp;<a href=\"https:\/\/docs.paloaltonetworks.com\/pan-os\/10-0\/pan-os-admin\/user-id\/deploy-user-id-in-a-large-scale-network\/redistribute-user-mappings-and-authentication-timestamps\/configure-user-id-redistribution\" target=\"_blank\" rel=\"noreferrer noopener\">instrucciones en la Gu\u00eda del administrador de PAN-OS<\/a>&nbsp;(pasos 8 y 9).<strong><em><br><br>Importante<\/em><\/strong><em>&nbsp;:<\/em>\n<ul class=\"wp-block-list\">\n<li><strong>Planificaci\u00f3n de actualizaciones:<\/strong>&nbsp;es fundamental planificar cuidadosamente cualquier actualizaci\u00f3n posterior al vencimiento del certificado.&nbsp;Una actualizaci\u00f3n de un agente de redistribuci\u00f3n puede afectar a los clientes conectados;&nbsp;por lo tanto, recomendamos actualizar todos los dispositivos (clientes) conectados al mismo agente.<\/li>\n\n\n\n<li><strong>Riesgos de las sesiones en curso:<\/strong>&nbsp;despu\u00e9s del 31 de diciembre de 23, es importante tener en cuenta que no hay tiempos de espera en las sesiones de redistribuci\u00f3n que puedan provocar que fallen.&nbsp;Todas las sesiones que se ejecutan con certificados caducados continuar\u00e1n, pero corren el riesgo de fallar debido a interrupciones de la red, reinicios de procesos, cambios de configuraci\u00f3n relacionados que se confirmen o actualizaciones de PAN-OS;&nbsp;por lo tanto, recomendamos que las actualizaciones del dispositivo se realicen durante una ventana de mantenimiento.<\/li>\n\n\n\n<li>Debe cambiar a certificados personalizados tanto en el agente de redistribuci\u00f3n de datos como en el cliente para comunicaciones seguras entre el servidor y el cliente.<\/li>\n\n\n\n<li>Debe cambiar a certificados personalizados en los agentes de ID de usuario de Windows para comunicaciones seguras con el cliente.<\/li>\n\n\n\n<li>Al pasar a certificados personalizados, tendr\u00e1 un per\u00edodo en el que el agente de ID de usuario no podr\u00e1 comunicarse con el firewall o Panorama al que est\u00e1 conectado.&nbsp;Para minimizar ese tiempo, aseg\u00farese de que la cuenta de servicio en Windows Server que ejecuta el servicio del agente de ID de usuario tenga los permisos adecuados antes de migrar a certificados personalizados.<\/li>\n\n\n\n<li>Siga&nbsp;<a href=\"https:\/\/knowledgebase.paloaltonetworks.com\/KCSArticleDetail?id=kA14u0000008WCYCA2\" target=\"_blank\" rel=\"noreferrer noopener\">este art\u00edculo de KB<\/a>&nbsp;para obtener m\u00e1s informaci\u00f3n sobre los pasos de preparaci\u00f3n y c\u00f3mo aplicar los certificados personalizados.<\/li>\n\n\n\n<li>Si utiliza la redistribuci\u00f3n de datos entre firewalls y Prisma Access, tambi\u00e9n debe aplicar una revisi\u00f3n o actualizar sus firewalls afectados, ya que Prisma Access no admite certificados personalizados.&nbsp;No necesita realizar cambios en Prisma Access; solo necesita actualizar sus firewalls a una versi\u00f3n de actualizaci\u00f3n espec\u00edfica.<br><em><\/em><\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Nube privada WildFire (WF500\/B)<\/strong>&nbsp;: los certificados personalizados no son una opci\u00f3n.<br><\/li>\n\n\n\n<li><strong>Nube privada URL PAN-DB (Serie M)<\/strong>&nbsp;: los certificados personalizados no son una opci\u00f3n.<br><\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"toc-hId--79071879\">Escenario 2<\/h3>\n\n\n\n<p>Si es cliente de la nube p\u00fablica WildFire,&nbsp;<a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-wildfire\/administration\/advanced-wildfire-overview\/advanced-wildfire-deployments\/advanced-wildfire-global-cloud\" target=\"_blank\" rel=\"noreferrer noopener\">la nube p\u00fablica Advanced WildFire<\/a>&nbsp;, el filtrado de URL,&nbsp;<a href=\"https:\/\/docs.paloaltonetworks.com\/pan-os\/10-1\/pan-os-new-features\/url-filtering-features\/advanced-url-filtering\" target=\"_blank\" rel=\"noreferrer noopener\">el filtrado avanzado de URL<\/a>&nbsp;,&nbsp;<a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/dns-security\" target=\"_blank\" rel=\"noreferrer noopener\">la seguridad DNS<\/a>&nbsp;,&nbsp;<a href=\"https:\/\/threatvault.paloaltonetworks.com\/\" target=\"_blank\" rel=\"noreferrer noopener\">Threat Vault<\/a>&nbsp;o&nbsp;<a href=\"https:\/\/docs.paloaltonetworks.com\/autofocus\" target=\"_blank\" rel=\"noreferrer noopener\">AutoFocus<\/a>&nbsp;, debe realizar una de las siguientes tres acciones ahora que el certificado ha caducado: (2a) instale una actualizaci\u00f3n de contenido espec\u00edfica en sus firewalls y dispositivos Panorama afectados O (2b) actualice sus firewalls y dispositivos Panorama afectados O (2c) habilite los certificados de dispositivo en sus firewalls y dispositivos Panorama afectados.<br><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>2a) Instale una actualizaci\u00f3n de contenido espec\u00edfica en sus firewalls y dispositivos Panorama afectados<\/strong>&nbsp;.<br>Debe<a href=\"https:\/\/docs.paloaltonetworks.com\/pan-os\/9-1\/pan-os-admin\/software-and-content-updates\/install-content-and-software-updates\" target=\"_blank\" rel=\"noreferrer noopener\">&nbsp;instalar la siguiente&nbsp;<\/a>versi\u00f3n de actualizaci\u00f3n de contenido (8776-8390 o posterior) en sus firewalls y Panorama.\n<ul class=\"wp-block-list\">\n<li>Si tienes configurado el contenido autom\u00e1tico, esta actualizaci\u00f3n ser\u00e1 autom\u00e1tica<\/li>\n\n\n\n<li>Si actualiza manualmente su contenido, actualice su contenido a la versi\u00f3n de contenido anterior<br><\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><strong>2b) Actualice sus firewalls afectados y Panorama<\/strong><br>Actualice su firewall y Panorama a una de las versiones de PAN-OS en las versiones de actualizaci\u00f3n de destino mencionadas anteriormente.<br>&nbsp;<\/li>\n\n\n\n<li><strong>2c) Habilite el Certificado de dispositivo en sus firewalls afectados y Panorama<\/strong>\n<ul class=\"wp-block-list\">\n<li>Si tiene firewalls y dispositivos Panorama que ejecutan PAN-OS 8.1, PAN-OS 9.0 o PAN-OS 9.1, no recomendamos que utilice esta opci\u00f3n.<\/li>\n\n\n\n<li>Si tiene firewalls y dispositivos Panorama que ejecutan PAN-OS 10.0.5, PAN-OS 10.1.10, PAN-OS 10.2.5 o PAN-OS 11.0.2 o cualquier versi\u00f3n o lanzamiento posterior, siga las&nbsp;<a href=\"https:\/\/docs.paloaltonetworks.com\/pan-os\/10-2\/pan-os-admin\/certificate-management\/obtain-certificates\/device-certificate\" target=\"_blank\" rel=\"noreferrer noopener\">instrucciones para habilitar el dispositivo. Certificado<\/a>&nbsp;.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<p><strong><br>PanOS 9.1 dejar\u00e1 de ser compatible con el 12 de diciembre de 2023. \u00bfSeguir\u00e1 siendo compatible con PanOS despu\u00e9s de esa fecha?<\/strong><br>Para los clientes con Pan-OS 9.1, que tiene una fecha de soporte de fin de vida (EoL) del 13 de diciembre de 2023, ampliaremos el soporte para todos los clientes hasta el 31 de marzo de 2024. Esto ahora se refleja en nuestro fin&nbsp;<a href=\"https:\/\/www.paloaltonetworks.com\/services\/support\/end-of-life-announcements\/end-of-life-summary#pan-os-panorama\">de vida \u00fatil. P\u00e1gina de resumen<\/a>&nbsp;.<\/p>\n\n\n\n<p><strong>\u00bfMi implementaci\u00f3n de Prisma Access se ve afectada por esta actualizaci\u00f3n de emergencia?<\/strong><br>Si utiliza la redistribuci\u00f3n de datos entre los firewalls y Prisma Access, debe aplicar una revisi\u00f3n o actualizar los firewalls afectados.&nbsp;No es necesario realizar cambios en Prisma Access;&nbsp;solo necesita actualizar sus firewalls a una versi\u00f3n de actualizaci\u00f3n espec\u00edfica porque este aviso al cliente no afecta el servicio Prisma Access.<\/p>\n\n\n\n<p><strong>\u00bfCu\u00e1l ser\u00e1 el impacto en mi red si no actualizo mis firewalls y Panorama a una de las versiones (arriba) antes del 31 de diciembre de 2023?<\/strong><\/p>\n\n\n\n<p>Para el escenario 1:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Si no actualiza sus firewalls y dispositivos Panorama afectados antes del 31 de diciembre de 2023, sus firewalls y dispositivos Panorama ya no podr\u00e1n establecer nuevas conexiones para la redistribuci\u00f3n de datos (ID de usuario, etiqueta IP, etiqueta de usuario, GlobalProtect HIP, o lista de cuarentena),<\/li>\n\n\n\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-url-filtering\/administration\/pan-db-private-cloud-overview\" target=\"_blank\" rel=\"noreferrer noopener\">Dispositivos de nube privada URL PAN-DB (Serie M)<\/a>&nbsp;o&nbsp;<a href=\"https:\/\/www.paloaltonetworks.com\/products\/secure-the-network\/subscriptions\/wf-500-wildfire-appliance\" target=\"_blank\" rel=\"noreferrer noopener\">dispositivos de nube privada WildFire (WF-500 o WF-500-B)<\/a>&nbsp;: si sus conexiones existentes finalizan (por ejemplo, cuando realiza cambios en la red o la configuraci\u00f3n o experimenta alg\u00fan evento de red imprevisto). ), experimentar\u00e1 una interrupci\u00f3n de los servicios afectados cuando no puedan volver a conectarse debido a certificados vencidos.<\/li>\n<\/ul>\n\n\n\n<p>Para el escenario 2:<\/p>\n\n\n\n<p>Si no completa las acciones recomendadas anteriormente antes del 31 de diciembre de 2023, sus servicios de nube p\u00fablica WildFire,&nbsp;<a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-wildfire\/administration\/advanced-wildfire-overview\/advanced-wildfire-deployments\/advanced-wildfire-global-cloud\" target=\"_blank\" rel=\"noreferrer noopener\">nube p\u00fablica Advanced WildFire<\/a>&nbsp;, filtrado de URL,&nbsp;<a href=\"https:\/\/docs.paloaltonetworks.com\/pan-os\/10-1\/pan-os-new-features\/url-filtering-features\/advanced-url-filtering\" target=\"_blank\" rel=\"noreferrer noopener\">filtrado de URL avanzado<\/a>&nbsp;,&nbsp;<a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/dns-security\" target=\"_blank\" rel=\"noreferrer noopener\">seguridad DNS<\/a>&nbsp;,&nbsp;<a href=\"https:\/\/threatvault.paloaltonetworks.com\/\" target=\"_blank\" rel=\"noreferrer noopener\">Threat Vault<\/a>&nbsp;y&nbsp;<a href=\"https:\/\/docs.paloaltonetworks.com\/autofocus\" target=\"_blank\" rel=\"noreferrer noopener\">AutoFocus<\/a>&nbsp;ya no podr\u00e1n establecer nuevas conexiones. despu\u00e9s de esa fecha.<\/p>\n\n\n\n<p><strong>\u00bfC\u00f3mo puedo verificar mis firewalls y Panorama para asegurarme de que tengan el nuevo certificado ra\u00edz que vence el 1 de enero de 2032?<\/strong><br>No existe una forma directa de ver el certificado real.&nbsp;Seg\u00fan los escenarios descritos anteriormente, si sus firewalls y Panorama ejecutan cualquiera de las versiones de PAN-OS espec\u00edficas enumeradas anteriormente (o una versi\u00f3n posterior), o ejecutan la versi\u00f3n de contenido requerida, entonces tendr\u00e1 instalado el nuevo certificado ra\u00edz y predeterminado.<\/p>\n\n\n\n<p><strong>\u00bfQu\u00e9 versi\u00f3n de PAN-OS debo seleccionar en la tabla para Actualizar versi\u00f3n de destino?<br><\/strong>Le recomendamos que actualice a la \u00faltima revisi\u00f3n para la versi\u00f3n principal\/menor de PAN-OS espec\u00edfica que est\u00e1 ejecutando actualmente, es decir, si actualmente est\u00e1 usando 9.1.11, seleccione 9.1.11-h4 o la siguiente versi\u00f3n superior m\u00e1s cercana (actual: 9.1 .5 al objetivo 9.1.11-h4).&nbsp;No es necesario ni recomendado actualizar a una versi\u00f3n principal solo para actualizar los certificados, por ejemplo: no es necesario actualizar de 10.1.X a 10.2.Y, sino que debe seleccionar una revisi\u00f3n 10.1.X.<\/p>\n\n\n\n<p><strong>\u00bfC\u00f3mo puedo determinar si mis firewalls y Panoramas est\u00e1n configurados con certificados personalizados?<\/strong><br>Los certificados personalizados para la redistribuci\u00f3n de datos (ID de usuario, etiqueta IP, etiqueta de usuario, GlobalProtect HIP y\/o lista de cuarentena) se admiten a partir de PAN-OS 10.0 y versiones superiores.&nbsp;Puede verificar si est\u00e1 utilizando certificados predeterminados\/personalizados para la redistribuci\u00f3n de datos utilizando los siguientes comandos.<\/p>\n\n\n\n<p><strong>Agente de Redistribuci\u00f3n<\/strong><\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>admin@10.0-New-AFW&gt; show redistribution service status\n\nRedistribution info: \n        Redistribution service:                     up\n        listening port:                           5007\n        SSL config:                    Custom certificates\n        back pressure is:                          off\n        number of clients:                           2\n<\/code><\/pre>\n\n\n\n<p><strong>Cliente de redistribuci\u00f3n<\/strong><\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>admin@10.0-New-CFW&gt; show redistribution agent state all\n\nAgent: 92-uid-Agent(vsys: vsys1) Host: 10.46.196.49(10.46.196.49):5007\n        Status                                            : conn:idle\n        Version                                           : 0x6\n        SSL config:                                       : Custom certificates\n        num of connection tried                           : 1<\/code><\/pre>\n\n\n\n<p>Los certificados personalizados para la nube privada WildFire (WF-500 o WF-500-B) est\u00e1n disponibles a partir de PAN-OS 8.1 y todas las versiones posteriores.<\/p>\n\n\n\n<p>Verificaci\u00f3n de certificado desde PAN-OS CLI:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>dmin@sjc-bld-smk01-esx13-t2-pavm02&gt; show wildfire status channel private\n\u2026 \n\nSecure Connection: Custom Trusted CA, Custom Client Certificate\n\n\u2026<\/code><\/pre>\n\n\n\n<p><strong>Para la redistribuci\u00f3n de datos (ID de usuario, etiqueta IP, etiqueta de usuario, GlobalProtect HIP y\/o lista de cuarentena), \u00bfen qu\u00e9 orden debo actualizar?<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Hasta el 31 de diciembre de 2023, el agente de redistribuci\u00f3n y el cliente de redistribuci\u00f3n pueden ejecutar versiones diferentes y seguir conect\u00e1ndose y comunic\u00e1ndose correctamente.&nbsp;<\/li>\n\n\n\n<li>No necesita actualizar todos sus firewalls y dispositivos Panorama simult\u00e1neamente, pero debe comenzar con las actualizaciones de sus dispositivos Panorama y luego actualizar sus firewalls.&nbsp;&nbsp;<\/li>\n\n\n\n<li>El 31 de diciembre de 2023, todos sus firewalls y dispositivos Panorama deben ejecutar una de las versiones espec\u00edficas&nbsp;&nbsp;para que su red contin\u00fae conect\u00e1ndose y comunic\u00e1ndose exitosamente y compartiendo asignaciones y etiquetas como se esperaba.<\/li>\n<\/ul>\n\n\n\n<p><strong>\u00bfLa caducidad de este certificado afecta la comunicaci\u00f3n entre los firewalls y los agentes de ID de usuario o Terminal Server de Windows o entre los firewalls y los dispositivos Panorama?<\/strong><br>Si elige remediar el escenario 1 mediante el uso de certificados personalizados, deber\u00e1 agregar esos certificados personalizados al agente de ID de usuario de Windows.&nbsp;Esto no afecta a los agentes de Terminal Server.&nbsp;Revise la soluci\u00f3n b del escenario 1 para obtener m\u00e1s informaci\u00f3n.<\/p>\n\n\n\n<p>En la correcci\u00f3n del escenario 1 y en todas las correcciones del escenario 2, no hay ning\u00fan impacto en la comunicaci\u00f3n entre los firewalls y los agentes de User-ID y Terminal Server.<\/p>\n\n\n\n<p><strong>\u00bfPor qu\u00e9 veo una notificaci\u00f3n emergente incluso cuando he tomado las medidas necesarias para evitar este problema?<\/strong><br>El mensaje se transmite a todos los dispositivos independientemente de la versi\u00f3n o las acciones realizadas y seguir\u00e1 mostr\u00e1ndose hasta que haga clic en la casilla de verificaci\u00f3n en la parte inferior izquierda de la ventana emergente que dice&nbsp;&nbsp;<strong>No mostrar&nbsp;de nuevo<\/strong>&nbsp;&nbsp;(esta casilla de verificaci\u00f3n se guarda por usuario, no por sistema, por lo que cada administrador con sus propias credenciales deber\u00e1 seleccionarlo para su propia cuenta).&nbsp;<\/p>\n\n\n\n<p>Si todas las acciones correctivas se han tomado adecuadamente, es seguro ignorar la notificaci\u00f3n.<\/p>\n\n\n\n<p><strong><br>\u00bfExiste alguna herramienta que pueda utilizar para determinar si este problema de certificado me afecta?<\/strong><br>Aproveche la herramienta Self Impact Discovery en:&nbsp;<a href=\"https:\/\/github.com\/PaloAltoNetworks\/redist-check\/tree\/main\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/github.com\/PaloAltoNetworks\/redist-check\/tree\/main<\/a>&nbsp;&nbsp;si tiene alg\u00fan problema con la herramienta, inf\u00f3rmelo en GitHub aqu\u00ed:&nbsp;&nbsp;<a href=\"https:\/\/github.com\/PaloAltoNetworks\/redist-check\/issues\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/github.com\/PaloAltoNetworks\/ redist-check\/problemas<\/a>&nbsp;<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" width=\"750\" height=\"196\" src=\"https:\/\/ngeek.net\/wp-content\/uploads\/2024\/03\/logo-ngeek-y-palo-alto.webp\" alt=\"\" class=\"wp-image-696\" srcset=\"https:\/\/ngeek.net\/wp-content\/uploads\/2024\/03\/logo-ngeek-y-palo-alto.webp 750w, https:\/\/ngeek.net\/wp-content\/uploads\/2024\/03\/logo-ngeek-y-palo-alto-300x78.webp 300w\" sizes=\"(max-width: 750px) 100vw, 750px\" \/><\/figure>\n","protected":false},"excerpt":{"rendered":"<p>\u00bfQu\u00e9 est\u00e1 cambiando? El 31 de diciembre de 2023, el certificado ra\u00edz y el certificado predeterminado para los firewalls y [&hellip;]<\/p>\n","protected":false},"author":135490468664,"featured_media":603,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[16,17],"tags":[],"post_folder":[13],"class_list":["post-511","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-es","category-palo-alto"],"_links":{"self":[{"href":"https:\/\/ngeek.net\/es\/wp-json\/wp\/v2\/posts\/511","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/ngeek.net\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/ngeek.net\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/ngeek.net\/es\/wp-json\/wp\/v2\/users\/135490468664"}],"replies":[{"embeddable":true,"href":"https:\/\/ngeek.net\/es\/wp-json\/wp\/v2\/comments?post=511"}],"version-history":[{"count":7,"href":"https:\/\/ngeek.net\/es\/wp-json\/wp\/v2\/posts\/511\/revisions"}],"predecessor-version":[{"id":698,"href":"https:\/\/ngeek.net\/es\/wp-json\/wp\/v2\/posts\/511\/revisions\/698"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/ngeek.net\/es\/wp-json\/wp\/v2\/media\/603"}],"wp:attachment":[{"href":"https:\/\/ngeek.net\/es\/wp-json\/wp\/v2\/media?parent=511"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/ngeek.net\/es\/wp-json\/wp\/v2\/categories?post=511"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/ngeek.net\/es\/wp-json\/wp\/v2\/tags?post=511"},{"taxonomy":"post_folder","embeddable":true,"href":"https:\/\/ngeek.net\/es\/wp-json\/wp\/v2\/post_folder?post=511"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}