防火墙与 Panorama 断开连接，ms.log 中出现错误消息“SC3：验证错误：27：证书不受信任（深度：0）”

• 多个防火墙突然与主活动全景图断开连接和/或向设备提交推送失败，并显示错误消息:“全景图连接检查失败. 原因： SSL握手失败，正在恢复配置“。
• 防火墙已正确连接到辅助全景图。
• 防火墙和 Panorama 之间的 Ping 可以工作，但SSL失败。
• Panorama 上的 ms.log（ less mp-log ms.log ）显示错误“未知 SNI”。
• FW 上的 ms.log/configd.log（ less mp-log configd.log ）显示错误“ SC3：验证错误：27：证书不受信任（深度：0） ”
• 在 Panoramas 和防火墙上使用“ show system 状态 filter cfg.ms.* ”检查 SDB 值时，主主动模式上的CA值与次被动模式 Panorama 和防火墙上的CA不匹配。
  

• Panorama 管理防火墙
• PAN-OS 10.1 或更高版本
• 在HA （高可用性）中配置的 Panorama

主活动全景图 (SC3. CA更改) 上的CA证书已更改, 与防火墙上的证书不匹配。

执行以下步骤来解决该问题：

1. 暂停主活动全景 (A)。
2. 辅助全景变为活动辅助活动 (B)。
3. 然后将（B）的优先级更改为主要，将（A）的优先级更改为次要并提交（确保启用了抢占）。
4. 这会将CA证书从 (B)同步到 (A) 并与防火墙上的CA匹配。
5. 使全景图（A）发挥作用并检查 SDB 值以确认匹配。
6. 完成此更改后，防火墙应自动连接到两个 Panoramas。
   
   
   

• 在 Panorama 上重置 SC3。
• 通过 RMA 引入新 Panorama 的情况。
• 在中央处理器使用率较高期间，Panorama 上的CA会发生更改。如果 FW 和 Panorama 之间发生连接故障，SDB 提取可能无法读取CA