Validación OCSP de certificado de cliente no funciona
Resolution
Síntomas de
OCSP validación de certificados de cliente para GlobalProtect no funciona cuando se utiliza un perfil de OCSP ligero de Microsoft
Incidencia
Confirme que la validación del certificado fuera del cortafuegos al servidor OCSP es satisfactoria. Tenga en cuenta que el cortafuegos incluye el nonce en la consulta OCSP
Eche un vistazo a los siguientes registros de MP-log sslmgr. log, para el siguiente mensaje de error (o similar):
Jul 30 15:46:59 sslmgr: IKE Mgr Client Certificate Profile commit
Jul 30 15:52:16 error: pan_ocsp_parse_response (pan_crl. c:1262): [OCSP] el resultado de la consulta de estado del certificado no está disponible para el número de serie [6128D58D000000000004] y URI [http://labsrv1.stealthllama.local/OCSP]
Jul 30 15:52:16 error: pan_ocsp_fetch_ocsp (pan_crl. c:1948): pan_ocsp_parse_response () falló
También puede haber mensajes de error como los siguientes:
Jul 31 18:24:31 sslmgr_sysd_verify_cert (sslmgr_sysd. c:164): vsys ID (1) Profile Name (StealthllamaClients) CERT Len (2034) obj Len (2074) struct length (40)
Jul 31 18:24:31 [OCSP] URL (NULL) serialNo: 6128D58D000000000004
Jul 31 18:24:31 pan_ocsp_certchain_to_file (pan_crl. c:1066): root_ca_fname (Clr3Zk-uU9Jad2n)
Jul 31 18:24:31 pan_ocsp_query_responder (pan_crl. c:1807): cetificate información de tiempo válida (emisor: Not Before [Jul 29 15:51:18 2012 GMT]; No después [Jul 29 16:01:16 2017 GMT]; CERT: Not Before [Jul 29 16:24:45 2012 GMT]; No después [Jul 29 16:24:45 2013 GMT];)
Jul 31 18:24:31 pan_ocsp_parse_response (pan_crl. c:1187): responder error: no autorizado (6)
Jul 31 18:24:31 error: pan_ocsp_parse_response (pan_crl. c:1262): [OCSP] el resultado de la consulta de estado del certificado no está disponible para el número de serie [6128D58D000000000004] y URI [http://labsrv1.stealthllama.local/OCSP]
Jul 31 18:24:31 error: pan_ocsp_fetch_ocsp (pan_crl. c:1948): pan_ocsp_parse_response () falló
Jul 31 18:24:31 sslmgr_check_status (sslmgr_main. c:671): [OCSP] Estado de certificado no disponible: profundidad: 0
Resolución
Habilite esa extensión en Microsoft OCSP responder. El perfil ligero de OCSP de Microsoft no admite extensiones de nonce de forma predeterminada. Sin embargo, puede habilitarse modificando las extensiones de configuración de revocación.
Propietario: dwhyte