OCSP-Validierung von Client-Zertifikat nicht funktioniert

OCSP-Validierung von Client-Zertifikat nicht funktioniert

41418
Created On 09/25/18 17:42 PM - Last Modified 06/13/23 03:55 AM


Resolution


Symptome

OCSP-Validierung von Client-Zertifikaten für GlobalProtect funktioniert nicht, wenn ein leichtes OCSP-Profil von Microsoft verwendet wird

Problem

Bestätigen Sie, dass die Validierung des Zertifikats außerhalb der Firewall auf den OCSP-Server erfolgreich ist. Denken Sie daran, dass die Firewall die Nonce in der OCSP-Abfrage enthält

Werfen Sie einen Blick auf die folgenden Protokolle von MP-Log sslmgr. log, für die folgende Fehlermeldung (oder ähnliches):

Jul 30 15:46:59 sslmgr: IKE Mgr-kundenzertifikat-Profil Commit

Jul 30 15:52:16 Fehler: pan_ocsp_parse_response (pan_crl. c:1262): [OCSP] das Ergebnis der Zertifikats Status-Abfrage ist für die Seriennummer [6128D58D000000000004] und Uri [http://labsrv1.stealthllama.local/OCSP] nicht verfügbar.

Jul 30 15:52:16 Fehler: pan_ocsp_fetch_ocsp (pan_crl. c:1948): pan_ocsp_parse_response () failed

Es kann auch Fehlermeldungen geben, wie die unten:

Jul 31 18:24:31 sslmgr_sysd_verify_cert (sslmgr_sysd. c:164): Vsys ID (1) Profilname (StealthllamaClients) CERT len (2034) obj len (2074) struct length (40)

Jul 31 18:24:31 [OCSP] URL (null) SerialNo: 6128D58D000000000004

Jul 31 18:24:31 pan_ocsp_certchain_to_file (pan_crl. c:1066): root_ca_fname (Clr3Zk-uU9Jad2n)

Jul 31 18:24:31 pan_ocsp_query_responder (pan_crl. c:1807): cetificate gültige Zeit Informationen (Emittent: nicht vor [Jul 29 15:51:18 2012 GMT]; Nicht nach [Jul 29 16:01:16 2017 GMT]; CERT: nicht vor [Jul 29 16:24:45 2012 GMT]; Nicht nach [Jul 29 16:24:45 2013 GMT];)

Jul 31 18:24:31 pan_ocsp_parse_response (pan_crl. c:1187): Responder Error: unerlaubt (6)

Jul 31 18:24:31 Fehler: pan_ocsp_parse_response (pan_crl. c:1262): [OCSP] das Ergebnis der Zertifikats Status-Abfrage ist für die Seriennummer [6128D58D000000000004] und Uri [http://labsrv1.stealthllama.local/OCSP] nicht verfügbar.

Jul 31 18:24:31 Fehler: pan_ocsp_fetch_ocsp (pan_crl. c:1948): pan_ocsp_parse_response () failed

Jul 31 18:24:31 sslmgr_check_status (sslmgr_main. c:671): [OCSP] Zertifikats Status nicht verfügbar: Tiefe: 0

Lösung

Aktivieren Sie diese Erweiterung im MicroSoft OCSP-Responder. Das leichte OCSP-Profil von Microsoft unterstützt standardmäßig keine Nonce-Erweiterungen. Sie kann jedoch durch eine Änderung der Widerrufs Konfigurations Erweiterungen aktiviert werden.

Besitzer: dwhyte
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClIWCA0&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language