ms.log에 "SC3: 확인 오류:27: 인증 신뢰할 수 없음(깊이:0)"이라는 오류 메시지가 표시되면서 방화벽이 Panorama에서 연결 해제됨

• 여러 방화벽이 기본 활성 파노라마에서 갑자기 연결이 끊어지거나 디바이스 에 푸시를 commit 못했습니다. 오류 메시지: " 파노라마 연결 확인에 실패했습니다. . 이유: SSL 핸드셰이크 실패, 구성 되돌리기 ".
• 방화벽이 보조 파노라마에 올바르게 연결되어 있습니다.
• 방화벽과 파노라마 간의 ping은 작동하지만 SSL 이 실패합니다.
• Panorama에서 ms.log( less mp-log ms.log )에 '알 수 없는 SNI' 오류가 표시됩니다.
• FW의 ms.log/configd.log( less mp-log configd.log )에 ' SC3: verify error:27: 인증 not trusted (depth:0) ' 오류가 표시됩니다.
• " show system 상태 filter cfg.ms.* "를 사용하여 Panorama와 Firewall에서 SDB 값을 확인할 때, 기본 활성의 CA 값이 보조 수동 Panorama와 방화벽의 CA 와 일치하지 않습니다.
  

• 파노라마 관리 방화벽
• PAN-OS 10.1 이상
• HA (High Availability)로 구성된 Panorama

방화벽의 인증 와 일치하지 않는 Primary-active Panorama(SC3. CA 변경)에서 CA 인증 변경되었습니다.

문제를 해결하려면 다음 단계를 수행하세요.

1. 기본 활성 파노라마(A)를 일시 중단합니다.
2. 2차 파노라마가 활성화됩니다. 2차-활성(B).
3. 그런 다음 (B)의 우선순위를 기본으로, (A)의 우선순위를 보조로 변경하고 commit (선점 기능이 활성화되어 있는지 확인합니다).
4. 이렇게 하면 (B)의 CA 인증 (A)로 동기화 되고 방화벽의 CA 와 일치하게 됩니다.
5. 파노라마(A)를 작동시키고 SDB 값을 확인하여 일치하는지 확인합니다.
6. 이렇게 변경하면 방화벽이 두 파노라마에 자동으로 연결됩니다.
   
   
   

• 파노라마에서 SC3를 재설정합니다.
• RMA를 통해 새로운 파노라마가 출시된 경우.
• CPU 사용량이 높은 기간 동안 Panorama에서 CA 로의 변경. FW와 Panorama 사이에 연결 플랩이 발생하면 SDB 페치가 SC3.CA CA 읽지 못할 수 있습니다.