Panorama syslog 転送が失敗するOCSPとCRL検証

• Panorama.
• PAN-OS 10.1.7 以降
• パロアルトネットワークスFirewall.
• で構成された Syslog サーバーSSL.

• オンライン証明書ステータス プロトコル (OCSP ) は、証明書の失効ステータスを確認するために認証局によって使用されます。X .509 デジタル証明書。
• Palo Alto Networs ファイアウォールまたはPanoramaで、Syslog 転送プロファイルを構成できますSSL輸送方法として、SSL 、ポート 6514 がデフォルトで使用されます。
• 証明書に含まれていない場合OCSP URI、Firewallこれらの証明書の検証をスキップして、TLS Syslog サーバーとの接続。

> set syslogng ssl-conn-validation explicit OCSP skip CRL skip EKU skip

syslog-ng[50723]: syslog-ng no OCSP URI in cert; 
syslog-ng[50723]: syslog-ng ocsp over-riding errors due to global-flag;
syslog-ng[50723]: syslog-ng no CRL distribution points;
syslog-ng[50723]: issuer extended key-usage does not have OCSP signing; ihash='/opt/pancfg/mgmt/syslogng/ca.d/d6325660.0'
syslog-ng[50723]: Error connecting BIO;
syslog-ng[50723]: Error querying OCSP responsder;
syslog-ng[50723]: ocsp request failed; idx='0'
syslog-ng[50723]: syslog-ng ocsp over-riding errors due to global-flag;
syslog-ng[50723]: syslog-ng - converted CRL from DER to PEM;
syslog-ng[50723]: syslog-ng certificate is revoked; idx='0'
syslog-ng[50723]: syslog-ng CRL suppressing errors due to global settings;
syslog-ng[50723]: unable to load issuer cert; ihash='/opt/pancfg/mgmt/syslogng/ca.d/c43a77d9.0'
syslog-ng[50978]: syslog-ng starting up; version='3.29.1'
syslog-ng[50978]: SSL error while writing stream; tls_error='SSL routines:SSL3_WRITE_BYTES:ssl handshake failure', location='/opt/pancfg/mgmt/syslogng/pan_sysng.cfg:59:3'