Panorama Syslog Forwarding failling debido a OCSP y CRL validación

• Panorama.
• PAN-OS 10.1.7 o superior
• Palo Alto Networks Firewall.
• Servidor Syslog configurado con SSL.

• Las autoridades de certificación utilizan el Protocolo de estado de certificado en línea (OCSP) para comprobar el estado de revocación de un Xcertificado digital .509.
• En los cortafuegos de Palo Alto Networs o Panorama, se puede configurar un perfil de reenvío de Syslog como SSL método de transporte, para SSL, se utiliza el puerto 6514 de forma predeterminada.
• Si el certificado no incluye OCSP URI, puede Firewall omitir estas validaciones de certificados y establecer la TLS conexión con el servidor Syslog.

> set syslogng ssl-conn-validation explicit OCSP skip CRL skip EKU skip

syslog-ng[50723]: syslog-ng no OCSP URI in cert; 
syslog-ng[50723]: syslog-ng ocsp over-riding errors due to global-flag;
syslog-ng[50723]: syslog-ng no CRL distribution points;
syslog-ng[50723]: issuer extended key-usage does not have OCSP signing; ihash='/opt/pancfg/mgmt/syslogng/ca.d/d6325660.0'
syslog-ng[50723]: Error connecting BIO;
syslog-ng[50723]: Error querying OCSP responsder;
syslog-ng[50723]: ocsp request failed; idx='0'
syslog-ng[50723]: syslog-ng ocsp over-riding errors due to global-flag;
syslog-ng[50723]: syslog-ng - converted CRL from DER to PEM;
syslog-ng[50723]: syslog-ng certificate is revoked; idx='0'
syslog-ng[50723]: syslog-ng CRL suppressing errors due to global settings;
syslog-ng[50723]: unable to load issuer cert; ihash='/opt/pancfg/mgmt/syslogng/ca.d/c43a77d9.0'
syslog-ng[50978]: syslog-ng starting up; version='3.29.1'
syslog-ng[50978]: SSL error while writing stream; tls_error='SSL routines:SSL3_WRITE_BYTES:ssl handshake failure', location='/opt/pancfg/mgmt/syslogng/pan_sysng.cfg:59:3'