Die Zertifikat des PANDB Cloud Agent-Servers ist aufgrund eines „selbstsignierten Zertifikat in der Zertifikat “ fehlgeschlagen.
9552
Created On 09/15/23 09:17 AM - Last Modified 01/07/25 05:36 AM
Symptom
- Proxyserver/ SSL-Entschlüsselung , der zwischen Firewalls und der Palo Alto URL Cloud verwendet wird.
- Systemprotokolle (show log system ) melden Zertifikat
PANDB Cloud Agent Server certificate validation failed. Dest Addr: s0000.urlcloud.paloaltonetworks.com, Reason: self signed certificate in certificate chain
- Devsrv,log (less mp-log devsrv.log ) meldet die folgenden Meldungen
Perform download from cloud with result Peer certificate cannot be authenticated with given CA certificates.
Error: pan_cloud_agent_download_cloud_list(pan_cloud_agent_connect.c:1747): PAN-DB cloud list loading failed (ERROR:Peer certificate cannot be authenticated with given CA certificates).
Error: pan_cloud_agent_get_curl_connection(pan_cloud_agent_connect.c:2544): URL cloud list is empty. Cannot initiate cloud connection.
Warning: pan_cloud_agent_get_curl_connection(pan_cloud_agent_connect.c:2711): cannot elect a cloud
Failed to open connection with the cloud after 117250 consecutive tries.
path : https://s0000.urlcloud.paloaltonetworks.com/urlcloud_list, path
Downloading URL database via proxy server: XXX.XXX.XXX.XXX:8080
A connection with proxy server is established
Error: verify_cb(pan_ssl_curl_utils.c:615): Error with certificate at depth: 1
Error: verify_cb(pan_ssl_curl_utils.c:617): Basic Validation of x509 cert Fail ; Code : 19
Error: verify_cb(pan_ssl_curl_utils.c:620): Issuer = /C=XX/ST=XXX/L=XXX/O=XXX/OU=XXX/CN=XYZ
Error: verify_cb(pan_ssl_curl_utils.c:623): Subject = /C=XX/ST=XXX/L=XXX/O=XXX/OU=XXX/CN=XYZ
Error: verify_cb(pan_ssl_curl_utils.c:626): Failed to validate x509 cert from ctx: (19) self signed certificate in certificate chain
Notiz:
- Die Proxyserver-Informationen wie XXX.XXX.XXX:8080 sind in jeder Umgebung unterschiedlich.
- Und auch Aussteller und Betreff sind in jeder Umgebung unterschiedlich.
Environment
- Palo Alto-Firewalls
- Unterstützte PAN-OS
- Appliance mit SSL Entschlüsselung
Cause
Die Zertifikate der Cloud-Server von Palo Alto Networks werden von Proxy-Servern überschrieben, die als SSL Entschlüsselung fungieren.
Resolution
- Fügen Sie die Cloud-Server von Palo Alto Networks zu einer Whitelist hinzu, um sie von der SSL Entschlüsselung auszuschließen.
- Die Verbindung sollte jetzt erfolgreich sein.