動作していないクライアントの証明書の OCSP 検証
Resolution
兆候
Microsoft の軽量 ocsp プロファイルを使用しているときに、GlobalProtect のクライアント証明書の ocsp 検証が機能しない
問題
ファイアウォールの外部にある証明書を OCSP サーバーに検証することが成功したことを確認します。ファイアウォールに OCSP クエリの nonce が含まれていることに注意してください。
次のエラーメッセージ (または類似) については、mp-log sslmgr の次のログを参照してください。
7月 30 15:46:59 sslmgr: ike マネージャクライアント証明書プロファイルのコミット
7月 30 15:52:16エラー: pan_ocsp_parse_response (pan_crl c:1262): [ocsp] 証明書の状態のクエリの結果は、シリアル番号 [6128D58D000000000004] と uri [http://labsrv1.stealthllama.local/ocsp] で使用できません。
7月 30 15:52:16エラー: pan_ocsp_fetch_ocsp (pan_crl c:1948): pan_ocsp_parse_response () が失敗しました
以下のようなエラーメッセージが表示されることもあります。
7月 31 18:24:31 sslmgr_sysd_verify_cert (sslmgr_sysd c:164): vsys id (1) プロファイル名 (StealthllamaClients) 証明書レン (2034) obj len (2066) 構造体の長さ (40)
7月 31 18:24:31 [OCSP] URL (null) serialno: 6128D58D000000000004
7月 31 18:24:31 pan_ocsp_certchain_to_file (pan_crl c:1066): root_ca_fname (Clr3Zk-uU9Jad2n)
7月 31 18:24:31 pan_ocsp_query_responder (pan_crl c:1807): cetificate 有効時間情報 (発行体: 前に [7 月 29 15:51:18 2012 GMT];ない後 [7 月 29 16:01:16 2017 GMT];Cert: 前に [7 月 29 16:24:45 2012 GMT];ない後 [7 月 29 16:24:45 2013 GMT];)
7月 31 18:24:31 pan_ocsp_parse_response (pan_crl c:1187): レスポンダエラー: 不正 (6)
7月 31 18:24:31エラー: pan_ocsp_parse_response (pan_crl c:1262): [ocsp] 証明書のステータスクエリの結果は、シリアル番号 [6128D58D000000000004] と uri [http://labsrv1.stealthllama.local/ocsp] で使用できません。
7月 31 18:24:31エラー: pan_ocsp_fetch_ocsp (pan_crl c:1948): pan_ocsp_parse_response () が失敗しました
7月 31 18:24:31 sslmgr_check_status (sslmgr_main c:671): [OCSP] 証明書の状態を使用できません: 深さ: 0
解決方法
MicroSoft OCSP レスポンダーでその拡張機能を有効にします。Microsoft の軽量 OCSP プロファイルは、既定では nonce 拡張をサポートしていません。ただし、失効構成拡張機能を変更することによって有効にすることができます。
所有者: dwhyte