PANDB クラウド エージェント サーバーの証明書の検証は、「証明書チェーン内の自己署名証明書」が原因で失敗しました

• ファイアウォールと Palo Alto URLクラウド間で使用されるプロキシ サーバー/ SSL復号化サーバー。
• システムログ（show log system ）は証明書エラーを報告します。

PANDB Cloud Agent Server certificate validation failed. Dest Addr: s0000.urlcloud.paloaltonetworks.com, Reason: self signed certificate in certificate chain

• Devsrv,log (less mp-log devsrv.log ) は次のメッセージを報告します。

Perform download from cloud with result Peer certificate cannot be authenticated with given CA certificates.
Error:  pan_cloud_agent_download_cloud_list(pan_cloud_agent_connect.c:1747): PAN-DB cloud list loading failed (ERROR:Peer certificate cannot be authenticated with given CA certificates).
Error:  pan_cloud_agent_get_curl_connection(pan_cloud_agent_connect.c:2544): URL cloud list is empty. Cannot initiate cloud connection.
Warning:  pan_cloud_agent_get_curl_connection(pan_cloud_agent_connect.c:2711): cannot elect a cloud
Failed to open connection with the cloud after 117250 consecutive tries.
path : https://s0000.urlcloud.paloaltonetworks.com/urlcloud_list, path
Downloading URL database via proxy server: XXX.XXX.XXX.XXX:8080
A connection with proxy server is established
Error:  verify_cb(pan_ssl_curl_utils.c:615): Error with certificate at depth: 1
Error:  verify_cb(pan_ssl_curl_utils.c:617): Basic Validation of x509 cert Fail ; Code :  19 
Error:  verify_cb(pan_ssl_curl_utils.c:620): Issuer = /C=XX/ST=XXX/L=XXX/O=XXX/OU=XXX/CN=XYZ
Error:  verify_cb(pan_ssl_curl_utils.c:623): Subject = /C=XX/ST=XXX/L=XXX/O=XXX/OU=XXX/CN=XYZ
Error:  verify_cb(pan_ssl_curl_utils.c:626): Failed to validate x509 cert from ctx: (19) self signed certificate in certificate chain

• XXX.XXX.XXX:8080 のようなプロキシ サーバー情報は環境ごとに異なります。
• また、発行者とサブジェクトも環境ごとに異なります。

• パロアルトファイアウォール
• サポートされているPAN-OS
• SSL復号化機能を備えたアプライアンス

1. Palo Alto Networksクラウド サーバーをホワイトリストに登録して、 SSL復号化から除外します。
2. これで接続は成功するはずです。