OCSP Validation du certificat Client ne fonctionne ne pas
Resolution
Symptômes
La validation OCSP des certificats clients pour GlobalProtect ne fonctionne pas lors de l'utilisation d'un profil OCSP léger de Microsoft
Demande client
Confirmez que la validation du certificat en dehors du pare-feu sur le serveur OCSP est réussie. Gardez à l'esprit que le pare-feu inclut le nonce dans la requête OCSP
Jetez un oeil aux journaux suivants de MP-log sslmgr. log, pour le message d'erreur suivant (ou similaire):
Juil 30 15:46:59 sslmgr: IKE Mgr client profil de certificat Commit
Juil 30 15:52:16 erreur: pan_ocsp_parse_response (pan_crl. c:1262): [OCSP] le résultat de la requête d'état de certificat n'est pas disponible pour le numéro de série [6128D58D000000000004] et URI [http://labsrv1.stealthllama.local/OCSP]
Juil 30 15:52:16 erreur: pan_ocsp_fetch_ocsp (pan_crl. c:1948): pan_ocsp_parse_response () a échoué
Il peut également y avoir des messages d'erreur comme ceux ci-dessous:
Juil 31 18:24:31 sslmgr_sysd_verify_cert (sslmgr_sysd. c:164): VSys ID (1) Profile Name (StealthllamaClients) cert Len (2034) obj Len (2074) struct length (40)
Juil 31 18:24:31 [OCSP] URL (null) serialno: 6128D58D000000000004
Juil 31 18:24:31 pan_ocsp_certchain_to_file (pan_crl. c:1066): root_ca_fname (Clr3Zk-uU9Jad2n)
Juil 31 18:24:31 pan_ocsp_query_responder (pan_crl. c:1807): cetificate informations valides sur l'heure (Emetteur: pas avant [juil 29 15:51:18 2012 GMT]; Pas après [juil 29 16:01:16 2017 GMT]; CERT: pas avant [juil 29 16:24:45 2012 GMT]; Pas après [juil 29 16:24:45 2013 GMT];)
Juil 31 18:24:31 pan_ocsp_parse_response (pan_crl. c:1187): erreur du répondeur: non autorisé (6)
Juil 31 18:24:31 erreur: pan_ocsp_parse_response (pan_crl. c:1262): [OCSP] le résultat de la requête d'état de certificat n'est pas disponible pour le numéro de série [6128D58D000000000004] et URI [http://labsrv1.stealthllama.local/OCSP]
Juil 31 18:24:31 erreur: pan_ocsp_fetch_ocsp (pan_crl. c:1948): pan_ocsp_parse_response () a échoué
Juil 31 18:24:31 sslmgr_check_status (sslmgr_main. c:671): état du certificat [OCSP] non disponible: profondeur: 0
Résolution
Activez cette extension dans Microsoft OCSP reponder. Le profil OCSP léger de Microsoft ne prend pas en charge les extensions nonce par défaut. Toutefois, il peut être activé en modifiant les extensions de configuration de révocation.
propriétaire: dwhyte