Los firewalls se desconectaron de Panorama con el mensaje de error "SC3: error de verificación: 27: certificado no confiable (profundidad: 0)" en ms.log

Los firewalls se desconectaron de Panorama con el mensaje de error "SC3: error de verificación: 27: certificado no confiable (profundidad: 0)" en ms.log

11170
Created On 09/29/23 05:41 AM - Last Modified 03/18/25 06:01 AM


Symptom


  • Varios firewalls se desconectaron repentinamente del Panorama activo principal y/o la compilar de envío al dispositivo falló con el mensaje de error: " La comprobación de conectividad de Panorama falló para Motivo: Error en el protocolo de enlace SSL , se está revirtiendo la configuración ".
  • Los firewalls están conectados correctamente a los Panoramas secundarios.
  • El ping entre Firewalls y Panorama funciona pero el SSL está fallando.
  • ms.log ( menos mp-log ms.log ) en Panorama muestra el error 'SNI desconocido'.
  • ms.log/configd.log ( menos mp-log configd.log ) en FW muestra el error ' SC3: error de verificación: 27: certificado no confiable (profundidad: 0) '
  • Al verificar el valor de SDB usando " show system estado filter cfg.ms.* " tanto en Panoramas como en Firewalls, el valor de CA en el primario-activo no coincide con el valor de CA en el Panorama secundario-pasivo y en los Firewalls.

Environment


  • Firewalls administrados por Panorama
  • PAN-OS 10.1 o superior
  • Panorama configurado en HA (alta disponibilidad)

Cause


Se cambió el certificado de CA en el Panorama activo principal (SC3. Cambio de CA ) que no coincide con el certificado en el firewall.

Resolution


Realice los siguientes pasos para resolver el problema:

  1. Suspender panorama primario-activo (A).
  2. Panorama Secundario se convierte en Secundario-Activo (B).
  3. Luego cambie la prioridad de (B) a Primaria y (A) a Secundaria y compilar (asegúrese de que la preemisión esté habilitada).
  4. Esto sincronizar el certificado CA de (B) a (A) y coincidirá con la CA en los firewalls.
  5. Haga que Panorama (A) funcione y verifique el valor SDB para confirmar la coincidencia.
  6. Después de este cambio, los firewalls deberían conectarse a ambos Panoramas automáticamente.

Additional Information


Los cambios en el certificado SC3. CA en Panorama podrían ocurrir debido a lo siguiente:
  • Un reinicio de SC3 en Panorama.
  • Casos en los que se introduce un nuevo Panorama vía RMA.
  • Cambios en SC3. CA en Panorama durante períodos de alto uso de CPU . Si se produce una falla de conexión entre el FW y Panorama, la búsqueda de SDB puede fallar al leer SC3. CA
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000XggXCAS&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language