OCSP Validation du certificat Client ne fonctionne ne pas

OCSP Validation du certificat Client ne fonctionne ne pas

41414
Created On 09/25/18 17:42 PM - Last Modified 06/13/23 03:55 AM


Resolution


Symptômes

La validation OCSP des certificats clients pour GlobalProtect ne fonctionne pas lors de l'utilisation d'un profil OCSP léger de Microsoft

Demande client

Confirmez que la validation du certificat en dehors du pare-feu sur le serveur OCSP est réussie. Gardez à l'esprit que le pare-feu inclut le nonce dans la requête OCSP

Jetez un oeil aux journaux suivants de MP-log sslmgr. log, pour le message d'erreur suivant (ou similaire):

Juil 30 15:46:59 sslmgr: IKE Mgr client profil de certificat Commit

Juil 30 15:52:16 erreur: pan_ocsp_parse_response (pan_crl. c:1262): [OCSP] le résultat de la requête d'état de certificat n'est pas disponible pour le numéro de série [6128D58D000000000004] et URI [http://labsrv1.stealthllama.local/OCSP]

Juil 30 15:52:16 erreur: pan_ocsp_fetch_ocsp (pan_crl. c:1948): pan_ocsp_parse_response () a échoué

Il peut également y avoir des messages d'erreur comme ceux ci-dessous:

Juil 31 18:24:31 sslmgr_sysd_verify_cert (sslmgr_sysd. c:164): VSys ID (1) Profile Name (StealthllamaClients) cert Len (2034) obj Len (2074) struct length (40)

Juil 31 18:24:31 [OCSP] URL (null) serialno: 6128D58D000000000004

Juil 31 18:24:31 pan_ocsp_certchain_to_file (pan_crl. c:1066): root_ca_fname (Clr3Zk-uU9Jad2n)

Juil 31 18:24:31 pan_ocsp_query_responder (pan_crl. c:1807): cetificate informations valides sur l'heure (Emetteur: pas avant [juil 29 15:51:18 2012 GMT]; Pas après [juil 29 16:01:16 2017 GMT]; CERT: pas avant [juil 29 16:24:45 2012 GMT]; Pas après [juil 29 16:24:45 2013 GMT];)

Juil 31 18:24:31 pan_ocsp_parse_response (pan_crl. c:1187): erreur du répondeur: non autorisé (6)

Juil 31 18:24:31 erreur: pan_ocsp_parse_response (pan_crl. c:1262): [OCSP] le résultat de la requête d'état de certificat n'est pas disponible pour le numéro de série [6128D58D000000000004] et URI [http://labsrv1.stealthllama.local/OCSP]

Juil 31 18:24:31 erreur: pan_ocsp_fetch_ocsp (pan_crl. c:1948): pan_ocsp_parse_response () a échoué

Juil 31 18:24:31 sslmgr_check_status (sslmgr_main. c:671): état du certificat [OCSP] non disponible: profondeur: 0

Résolution

Activez cette extension dans Microsoft OCSP reponder. Le profil OCSP léger de Microsoft ne prend pas en charge les extensions nonce par défaut. Toutefois, il peut être activé en modifiant les extensions de configuration de révocation.

propriétaire: dwhyte
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClIWCA0&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language