Fehler der sicheren Kommunikation zwischen Firewall und Log Collector bei Verwendung eines benutzerdefinierten Zertifikats

• Firewall Es kann keine Verbindung mit Log Collector hergestellt werden und daher keine Protokolle weitergeleitet werden.
• Unter GUI: >Collector-> Panorama verwalten (wählen Sie die LCOption ) > Kommunikation > Sichere Serverkommunikation > nur benutzerdefiniertes Zertifikat ist aktiviert.

• Panorama Verwalten des Protokollsammlers.
• PAN-OS 9.1 und höher
• Der externe Protokollsammler ist auf Panoramakonfiguriert.
• Benutzerdefiniertes Zertifikat, das auf verwendet wird Panorama.

1. Aktivieren Sie LC die sichere Kommunikation in Firewall.
2. Dies kann konfiguriert werden unter GUI: Einstellungen für Gerät >Einrichten > Verwaltung > sichere Kommunikation >Benutzerdefinierte Zertifikateinstellungen > Kommunikation anpassen.
3. Führen Sie einen Commit für die Konfiguration aus.

• Auf dem zeigt das firewallLogrcvr-Protokoll (abzüglich mp-log logrcvr.log) den Fehler an, dass Firewall das Zertifikat nicht mit Log Collector ausgetauscht werden kann, um einen Kanal zu bilden SSL

+0800 connecting to remote address x.x.x.x @ fd 153
+0800 Error: cs_load_certs_ex(cs_common.c:655): keyfile not exists
+0800 SSL connect retry. sock=153 retry=3 sslretry=0 sslerr=2. <<<<<<<<
+0800 SSL connect retry. sock=153 retry=3 sslretry=1 sslerr=1. <<<<<<<<

• Paketerfassung zeigt an, dass der Protokollsammler mit Schwerwiegende Warnung , nicht erkannter Name auf die Client-Halloanforderung (Firewall) antwortet.

x.x.x.x m.m.m.m 3978 56322 Alert (Level: Fatal, Description: Unrecognized Name) 

Transport Layer Security 
>TLSv1.2 Record Layer: Alert (Level: Fatal, Description: Unrecognized Name) 
Content Type: Alert (21) 
Version: TLS 1.2 (0x0303)
Length: 2 
>Alert Message
Level: Fatal (2) 
Description: Unrecognized Name (112)