添加证书PAN-OS综合用户-ID代理 WinRM 结束HTTPS连接可能导致终端服务器代理连接失败。

为任一添加所需的证书PAN-OS融合的用户-ID代理 WinRM 结束HTTPS传输协议如果终端服务器代理未使用由CA包括在证书简介这会导致中断。

用户-ID登录firewall显示以下错误：

2022-09-30 10:55:45.339 -0700 错误：pan_ssl_conn_open（pan_ssl_utils.c:843）：错误：无法连接到 10.xxx（来源：10.yyy），SSL错误：错误：00000000:lib(0):func(0):reason(0)(0)

在错误日志中它显示了两个IP地址。 首先IP地址（在上面的例子中10.xxx ) 是终端服务器代理的IP地址。 第二IP地址（在上面的例子中10.yyy ） 是个firewall的IP地址。

Firewall/Panorama跑步PAN-OS10.0及以上版本
PAN-OS综合用户-ID代理人
终端服务器代理

从...开始PAN-OS10.0，客户可以为防火墙和代理之间的安全通信添加证书。 但是，证书配置文件上firewall在用户之间共享-ID代理和终端服务器代理。

因此，当您为PAN-OS综合用户-ID代理WinRMHTTPS连接，证书配置文件也会影响与终端服务器代理的连接，如果无法验证证书，与终端服务器代理的连接将失败。

1. 由于用户的预期行为-ID代理和终端服务器代理共享证书配置文件，防止这种情况发生的一种方法是让终端服务器代理证书由同一根签名CA在证书配置文件中指定的证书firewall.
   1. 请参阅文档中的步骤 4（可选）：配置帕洛阿尔托网络终端服务器 (TS ) 用户映射代理
2. 切换用户-ID代理使用 WinRMHTTP . 此方法不需要使用证书，因此不需要证书配置文件。