Validación OCSP de certificado de cliente no funciona

Validación OCSP de certificado de cliente no funciona

41412
Created On 09/25/18 17:42 PM - Last Modified 06/13/23 03:55 AM


Resolution


Síntomas de

OCSP validación de certificados de cliente para GlobalProtect no funciona cuando se utiliza un perfil de OCSP ligero de Microsoft

Incidencia

Confirme que la validación del certificado fuera del cortafuegos al servidor OCSP es satisfactoria. Tenga en cuenta que el cortafuegos incluye el nonce en la consulta OCSP

Eche un vistazo a los siguientes registros de MP-log sslmgr. log, para el siguiente mensaje de error (o similar):

Jul 30 15:46:59 sslmgr: IKE Mgr Client Certificate Profile commit

Jul 30 15:52:16 error: pan_ocsp_parse_response (pan_crl. c:1262): [OCSP] el resultado de la consulta de estado del certificado no está disponible para el número de serie [6128D58D000000000004] y URI [http://labsrv1.stealthllama.local/OCSP]

Jul 30 15:52:16 error: pan_ocsp_fetch_ocsp (pan_crl. c:1948): pan_ocsp_parse_response () falló

También puede haber mensajes de error como los siguientes:

Jul 31 18:24:31 sslmgr_sysd_verify_cert (sslmgr_sysd. c:164): vsys ID (1) Profile Name (StealthllamaClients) CERT Len (2034) obj Len (2074) struct length (40)

Jul 31 18:24:31 [OCSP] URL (NULL) serialNo: 6128D58D000000000004

Jul 31 18:24:31 pan_ocsp_certchain_to_file (pan_crl. c:1066): root_ca_fname (Clr3Zk-uU9Jad2n)

Jul 31 18:24:31 pan_ocsp_query_responder (pan_crl. c:1807): cetificate información de tiempo válida (emisor: Not Before [Jul 29 15:51:18 2012 GMT]; No después [Jul 29 16:01:16 2017 GMT]; CERT: Not Before [Jul 29 16:24:45 2012 GMT]; No después [Jul 29 16:24:45 2013 GMT];)

Jul 31 18:24:31 pan_ocsp_parse_response (pan_crl. c:1187): responder error: no autorizado (6)

Jul 31 18:24:31 error: pan_ocsp_parse_response (pan_crl. c:1262): [OCSP] el resultado de la consulta de estado del certificado no está disponible para el número de serie [6128D58D000000000004] y URI [http://labsrv1.stealthllama.local/OCSP]

Jul 31 18:24:31 error: pan_ocsp_fetch_ocsp (pan_crl. c:1948): pan_ocsp_parse_response () falló

Jul 31 18:24:31 sslmgr_check_status (sslmgr_main. c:671): [OCSP] Estado de certificado no disponible: profundidad: 0

Resolución

Habilite esa extensión en Microsoft OCSP responder. El perfil ligero de OCSP de Microsoft no admite extensiones de nonce de forma predeterminada. Sin embargo, puede habilitarse modificando las extensiones de configuración de revocación.

Propietario: dwhyte
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClIWCA0&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language