提交失败，出现错误“证书错误，正在恢复配置”

• 配置使用自定义证书的安全通信后，提交失败，并被还原。
• 在防火墙上，提交作业失败，原因如下：

Reason: Certificate error, reverting configuration

• 在 configd.log（少 mp-log configd.log）中，将显示以下错误。

-0700 [secure_conn] Verification of Server cert was unsuccessful
-0700 [secure_conn] Verification of Server cert was successful
-0700 Warning: pan_cmsa_tcp_channel_setup(cms_agent.c:1511): cmsa: using secure_conn_ctx
-0700 Error: pan_sec_conn_client_validation_impl(pan_sec_conn_client.c:455): [Secure conn verify result] Certificate verification failed due to Error 26 : unsupported certificate purpose 
-0700 Error: pan_cmsa_tcp_channel_setup(cms_agent.c:1741): ACR: Failed to verify certificate
-0700 ACR: Panorama connectivity check failed for <Panorama Address>. Reason: Certificate error, reverting configuration
-0700 ACR: Post-commit connectivity check failed, beginning to revert config

• Panorama 托管 PA 防火墙
• 防火墙和 Panorama 上的 PAN-OS 10.2
• 使用自定义证书保护防火墙和全景之间的通信

全景：

• 在 GUI 下： Panorama > 证书管理>证书 “FW_cert”生成如下
• 此证书在 GUI 下使用：设备>设置>管理>安全通信设置>自定义安全服务器通信

• 在图形界面下： 设备>证书管理>证书 “FW_cert”是从全景模板推送的。
• 此证书使用 GUI： Panorama > 设置>管理>证书的安全通信>设置

• 由于 Panorama 和 Firewall 上使用相同的证书，因此提交失败。

1. 对 Panorama 和 Firewall 使用单独的证书。
2. 例如，生成 2 个证书，Pan_cert 个用于 Panorama，FW_cert用于防火墙。

• 设置身份验证使用自定义证书
• 如何配置 Panorama 和防火墙之间的安全通信
• 连接服务器增强功能