升级 User-ID 代理后，防火墙将与代理断开连接。

• 更新 User-id 代理后，User-ID 代理和防火墙断开连接
• 如果采用管理 pcap，则可以看到在 ssl 握手期间发送重置的防火墙显示 未知 CA。

[ Info 1305]: New connection 172.16.206.1 : 40983.
[ Info 1378]: Device thread 1 with 172.16.206.1 : 40983 is started.
[Error 3499]: Failed to validate client certificate, thread : 1, 1-0!
[ Info 1701]: Connection 172.16.206.1 : 40983 closed.

[distributord] Received certificate with issuer = '/C=US/ST=California/L=Santa Clara/O=Palo Alto Networks/OU=Engineering/CN=User-ID Agent 1'
[distributord] Received certificate with subject = '/C=US/ST=California/L=Santa Clara/O=Palo Alto Networks/OU=Engineering/CN=User-ID Agent 1'
[distributord] Loading default uia trust cert in store
Error:  pan_distributor_agent_verify_cert_cb(pan_distributor_agent.c:1816): X509_verify_cert returned error 18, error = 'self signed certificate'
[distributord] Returning FAILURE from pan_user_id_uia_verify_cert_cb
Error:  pan_dcom_ssl_connect(pan_dcom_ssl.c:331): conn user: SSL_connect return -1
Error:  pan_dcom_ssl_connect(pan_dcom_ssl.c:332): SSL :error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed 

• 数据包捕获如下所示：

• 帕洛阿尔托防火墙
• 支持的 PAN-OS。
• User-ID 代理版本 10.2.2
• 棱镜访问

1. 根据 公告将防火墙升级到修补程序版本。
2. 升级防火墙后，升级 User-ID 代理。
3. 通过首先将防火墙升级到修补程序版本，它将同时具有旧证书和新证书，从而避免了该问题。
4. 对于 Prisma Access，请使用仍在使用旧证书的用户 ID 代理 9.0.6 版本。 （UaInstall-9.0.6-101.msi） 直到 Prisma Access 升级为使用新证书。