Pare-feu déconnectés de Panorama avec le message d'erreur « SC3 : erreur de vérification : 27 : certificat non approuvé (profondeur : 0) » dans ms.log

• Plusieurs pare-feu se sont soudainement déconnectés du Panorama principal actif et/ou la valider de l'envoi vers appareil a échoué avec le message d'erreur : « La vérification de la connectivité de Panorama a échoué pour . Raison : échec de la négociation SSL , annulation de la configuration ".
• Les pare-feu sont correctement connectés aux Panoramas secondaires.
• Le ping entre les pare-feu et Panorama fonctionne mais le SSL échoue.
• ms.log ( moins mp-log ms.log ) sur Panorama affiche l'erreur « SNI inconnu ».
• ms.log/configd.log ( moins mp-log configd.log ) sur FW affiche l'erreur ' SC3 : erreur de vérification : 27 : certificat non approuvé (profondeur : 0) '
• Lors de la vérification de la valeur SDB à l'aide de « show system état filter cfg.ms.* » sur les Panoramas et les pare-feu, la valeur CA sur le Panorama principal-actif ne correspond pas à la CA sur le Panorama secondaire-passif et sur les pare-feu.
  

• Pare-feu gérés par Panorama
• PAN-OS 10.1 ou supérieur
• Panorama configuré en HA (Haute Disponibilité)

Le certificat CA est modifié sur le Panorama principal actif (SC3. Modification CA ) qui ne correspond pas au certificat sur le pare-feu.

Procédez comme suit pour résoudre le problème :

1. Suspendre le panorama principal actif (A).
2. Le panorama secondaire devient actif Secondaire-Actif (B).
3. Modifiez ensuite la priorité de (B) sur Primaire et (A) sur Secondaire et valider (assurez-vous que la préemption est activée).
4. Cela synchroniser le certificat CA de (B) vers (A) et correspondra à l' CA sur les pare-feu.
5. Rendez Panorama (A) fonctionnel et vérifiez la valeur SDB pour confirmer la correspondance.
6. Après ce changement, les pare-feu devraient être connectés automatiquement aux deux Panoramas.
   
   
   

• Une réinitialisation de SC3 sur Panorama.
• Cas où un nouveau Panorama est introduit via RMA.
• Modifications apportées à SC3. CA sur Panorama pendant les périodes d'utilisation intensive du processeur . Si une défaillance de connexion se produit entre le microprogramme et Panorama, la récupération SDB peut ne pas réussir à lire SC3. CA.