WildFire L’enregistrement n’a pas validé x509 cert de ctx
22075
Created On 04/29/19 16:11 PM - Last Modified 03/26/21 17:39 PM
Symptom
WildFire l’enregistrement a échoué avec l’erreur ci-dessous dans mp/varrcvr.log :
admin@PA-VM> tail follow yes mp-log varrcvr.log
2019-04-13 02:15:34.043 -0600 Error: verify_cb(pan_ssl_curl_utils.c:630): Basic Validation of x509 cert Fail ; Code : 19
2019-04-13 02:15:34.043 -0600 Error: verify_cb(pan_ssl_curl_utils.c:633): Issuer = /CN=FN-W-MCCA-CA
2019-04-13 02:15:34.043 -0600 Error: verify_cb(pan_ssl_curl_utils.c:636): Subject = /CN=FN-W-MCCA-CA
2019-04-13 02:15:34.043 -0600 Error: verify_cb(pan_ssl_curl_utils.c:639): Failed to validate x509 cert from ctx: (19) self signed certificate in certificate chainCause
Cette erreur se produit lorsqu’il y a un périphérique en amont qui décrypte (généralement firewall un ou un proxy) la connexion à WildFire . La liste SSL d’exclusion du décryptage à Palo Alto a *. wildfire . paloaltonetworks.com ajouté par défaut pour éviter de décrypter la communication WildFire au moment où les réseaux de Palo Alto firewall font du décryptage.
Resolution
Ajouter *. wildfire . paloaltonetworks.com dans la liste SSL d’exclusion de décryptage de l’appareil en amont pour résoudre le problème.
Additional Information
Pour plus d’informations sur les inclusions de décryptage, veuillez consulter cet article: https://docs.paloaltonetworks.com/ pan-os /8-1/ pan-os -admin/decryption/decryption-exclusions.html