ファイアウォールが Panorama から切断され、ms.log に「SC3: 検証エラー:27:証明書が信頼されていません (深さ:0)」というエラー メッセージが表示されます。

• 複数のファイアウォールが突然プライマリアクティブなPanoramaから切断され、デバイスへのコミットするプッシュが失敗し、エラーメッセージ「 Panoramaの接続チェックに失敗しました」が表示されました。理由: SSLハンドシェイクに失敗しました。設定を元に戻します「」。
• ファイアウォールはセカンダリ Panorama に正しく接続されています。
• ファイアウォールと Panorama 間の ping は機能しますが、 SSLは失敗します。
• Panorama の ms.log ( less mp-log ms.log ) に「不明な SNI」というエラーが表示されます。
• FW 上の ms.log/configd.log ( less mp-log configd.log ) にエラー「 SC3: 検証エラー:27:証明書が信頼されていません (深さ:0) 」が表示されます
• Panorama とファイアウォールの両方で「 show system 状態 filter cfg.ms.* 」を使用して SDB 値を確認すると、プライマリ アクティブのCA値がセカンダリ パッシブ Panorama およびファイアウォールのCAと一致しません。
  

• Panorama 管理ファイアウォール
• PAN-OS 10.1 以上
• HA (高可用性) で構成された Panorama

プライマリアクティブ Panorama でCA証明書が変更されました (SC3. CA変更)。これはファイアウォール上の証明書と一致しません。

問題を解決するには、次の手順を実行します。

1. プライマリアクティブパノラマ（A）を一時停止します。
2. セカンダリパノラマがアクティブになります セカンダリアクティブ (B)。
3. 次に、(B) の優先度をプライマリに、(A) の優先度をセカンダリに変更してコミットする(プリエンプションが有効になっていることを確認します)。
4. これにより、 CA証明書が(B) から (A) に同期、ファイアウォール上のCAと一致します。
5. パノラマ (A) を機能させ、SDB 値をチェックして一致を確認します。
6. この変更後、ファイアウォールは両方の Panorama に自動的に接続されるはずです。
   
   
   

• Panorama の SC3 のリセット。
• RMA 経由で新しい Panorama が導入されるケース。
• CPU使用率が高い期間に Panorama 上の SC3. CAが変更されます。FW と Panorama の間で接続フラップが発生すると、SDB フェッチで SC3. CA の読み取りに失敗する可能性があります。