WildFire Registro No validó certificado x509 de ctx
22035
Created On 04/29/19 16:11 PM - Last Modified 03/26/21 17:39 PM
Symptom
WildFire registro falló con el siguiente error en mp/varrcvr.log:
admin@PA-VM> tail follow yes mp-log varrcvr.log
2019-04-13 02:15:34.043 -0600 Error: verify_cb(pan_ssl_curl_utils.c:630): Basic Validation of x509 cert Fail ; Code : 19
2019-04-13 02:15:34.043 -0600 Error: verify_cb(pan_ssl_curl_utils.c:633): Issuer = /CN=FN-W-MCCA-CA
2019-04-13 02:15:34.043 -0600 Error: verify_cb(pan_ssl_curl_utils.c:636): Subject = /CN=FN-W-MCCA-CA
2019-04-13 02:15:34.043 -0600 Error: verify_cb(pan_ssl_curl_utils.c:639): Failed to validate x509 cert from ctx: (19) self signed certificate in certificate chainCause
Este error ocurre cuando hay un dispositivo ascendente que está descifrando (normalmente a firewall o proxy) la conexión a WildFire . La SSL lista "Exclusión de descifrado" en Palo Alto tiene *. wildfire . paloaltonetworks.com agregada de forma predeterminada para evitar descifrar la comunicación a WildFire cuando palo alto networks está haciendo el firewall descifrado.
Resolution
Añadir *. wildfire . paloaltonetworks.com en la SSL lista de exclusión de descifrado del dispositivo ascendente para solucionar el problema.
Additional Information
Para obtener información adicional acerca de las inclusiones de descifrado, por favor revise este artículo: https://docs.paloaltonetworks.com/ pan-os /8-1/ pan-os -admin/decryption/decryption-exclusions.html