Firewalls von Panorama getrennt mit Fehlermeldung "SC3: Verifizierungsfehler:27: Zertifikat nicht vertrauenswürdig (Tiefe:0)" in ms.log

Firewalls von Panorama getrennt mit Fehlermeldung "SC3: Verifizierungsfehler:27: Zertifikat nicht vertrauenswürdig (Tiefe:0)" in ms.log

11170
Created On 09/29/23 05:41 AM - Last Modified 03/18/25 06:01 AM


Symptom


  • Mehrere Firewalls trennten sich plötzlich vom primär-aktiven Panorama und/oder der ausführen Push zum Gerät schlug fehl mit der Fehlermeldung: " Panorama-Konnektivitätsprüfung fehlgeschlagen für Grund: SSL Handshake fehlgeschlagen, Konfiguration wird zurückgesetzt ".
  • Die Firewalls sind korrekt mit den sekundären Panoramen verbunden.
  • Der Ping zwischen Firewalls und Panorama funktioniert, aber das SSL schlägt fehl.
  • ms.log ( weniger mp-log ms.log ) auf Panorama zeigt den Fehler „Unbekannte SNI“.
  • ms.log/configd.log ( weniger mp-log configd.log ) auf FW zeigt den Fehler „ SC3: Überprüfungsfehler:27: Zertifikat nicht vertrauenswürdig (Tiefe:0)
  • Beim Überprüfen des SDB-Werts mit „ show system Status filter cfg.ms.* “ sowohl auf Panorama- als auch auf Firewall-Systemen stimmt der CA Wert auf dem primär-aktiven System nicht mit dem CA auf dem sekundär-passiven Panorama-System und auf Firewall-Systemen überein.

Environment


  • Panorama verwaltete Firewalls
  • PAN-OS 10.1 oder höher
  • Panorama in HA (High Availability) konfiguriert

Cause


Das CA Zertifikat wird auf dem primär aktiven Panorama geändert (SC3. CA Änderung), was nicht mit dem Zertifikat auf der Firewall übereinstimmt.

Resolution


Führen Sie die folgenden Schritte aus, um das Problem zu beheben:

  1. Primär-Aktiv-Panorama aussetzen (A).
  2. Sekundäres Panorama wird zu Sekundär-Aktiv (B).
  3. Ändern Sie dann die Priorität von (B) in „Primär“ und von (A) in „Sekundär“ und ausführen aus (stellen Sie sicher, dass die Präemption aktiviert ist).
  4. Dadurch wird das CA Zertifikat von (B) nach (A) synchronisieren und mit dem CA auf Firewalls abgeglichen.
  5. Machen Sie Panorama (A) funktionsfähig und überprüfen Sie den SDB-Wert, um die Übereinstimmung zu bestätigen.
  6. Nach dieser Änderung sollten die Firewalls automatisch mit beiden Panoramas verbunden sein.

Additional Information


Änderungen am SC3. CA Zertifikat auf Panorama können aus folgenden Gründen auftreten:
  • Ein Reset von SC3 auf Panorama.
  • Fälle, in denen ein neues Panorama über RMA eingeführt wird.
  • Änderungen an SC3. CA auf Panorama während Zeiten hoher CPU Auslastung. Wenn zwischen der FW und Panorama ein Verbindungsfehler auftritt, kann der SDB-Abruf SC3. CA möglicherweise nicht lesen.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000XggXCAS&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language