Panorama Fehler bei der Syslog-Weiterleitung aufgrund von OCSP und CRL Validierung

• Panorama.
• PAN-OS 10.1.7 oder höher
• Palo Alto Netzwerke Firewall.
• Syslog-Server konfiguriert mit SSL.

• Online Certificate Status Protocol (OCSP) wird von Zertifizierungsstellen verwendet, um den Sperrstatus eines Xdigitalen .509-Zertifikats zu überprüfen.
• Auf den Palo Alto Networs Firewalls oder Panoramakann ein Syslog Forwarding Profil mit SSL als Transportmethode konfiguriert werden, für SSLwird standardmäßig der Port 6514 verwendet.
• Wenn das Zertifikat nicht enthält OCSP URI, können Sie Firewall diese Zertifikatüberprüfung überspringen und die TLS Verbindung mit dem Syslog-Server herstellen.

> set syslogng ssl-conn-validation explicit OCSP skip CRL skip EKU skip

syslog-ng[50723]: syslog-ng no OCSP URI in cert; 
syslog-ng[50723]: syslog-ng ocsp over-riding errors due to global-flag;
syslog-ng[50723]: syslog-ng no CRL distribution points;
syslog-ng[50723]: issuer extended key-usage does not have OCSP signing; ihash='/opt/pancfg/mgmt/syslogng/ca.d/d6325660.0'
syslog-ng[50723]: Error connecting BIO;
syslog-ng[50723]: Error querying OCSP responsder;
syslog-ng[50723]: ocsp request failed; idx='0'
syslog-ng[50723]: syslog-ng ocsp over-riding errors due to global-flag;
syslog-ng[50723]: syslog-ng - converted CRL from DER to PEM;
syslog-ng[50723]: syslog-ng certificate is revoked; idx='0'
syslog-ng[50723]: syslog-ng CRL suppressing errors due to global settings;
syslog-ng[50723]: unable to load issuer cert; ihash='/opt/pancfg/mgmt/syslogng/ca.d/c43a77d9.0'
syslog-ng[50978]: syslog-ng starting up; version='3.29.1'
syslog-ng[50978]: SSL error while writing stream; tls_error='SSL routines:SSL3_WRITE_BYTES:ssl handshake failure', location='/opt/pancfg/mgmt/syslogng/pan_sysng.cfg:59:3'