OCSP 验证的客户端证书不工作
Resolution
症状
在使用 Microsoft 轻量级 OCSP 配置文件时, OCSP 验证 GlobalProtect 的客户端证书不起作用
问题
确认验证防火墙外部的证书到 OCSP 服务器是否成功。请记住, 防火墙包括 OCSP 查询中的
请查看 mp 日志 sslmgr.log 中的下列日志, 以查看以下错误信息 (或类似情况):
7月30日 15:46:59 sslmgr: ike 经理客户端证书配置文件提交
7月30日 15:52:16错误: pan_ocsp_parse_response (pan_crl: 1262): [ocsp] 证书状态查询的结果对于序列号 [6128D58D000000000004] 和 uri [http://labsrv1.stealthllama.local/ocsp] 不可用
7月30日 15:52:16错误: pan_ocsp_fetch_ocsp (pan_crl: 1948): pan_ocsp_parse_response () 失败
也可能有类似下面的错误消息:
7月31日 18:24:31 sslmgr_sysd_verify_cert (sslmgr_sysd: 164): vsys id (1) 配置文件名称 (StealthllamaClients) 证书长度 (2034) obj 长度 (2074) 结构长 (40)
7月31日 18:24:31 [OCSP] URL (null) serialno: 6128D58D000000000004
7月31日 18:24:31 pan_ocsp_certchain_to_file (pan_crl: 1066): root_ca_fname (Clr3Zk uU9Jad2n)
7月31日 18:24:31 pan_ocsp_query_responder (pan_crl: 1807): 事务所确认有效时间信息 (发行者: 之前 [7月29日 15:51:18 2012 GMT];以后 [7月29日 16:01:16 2017 GMT];证书: 不早于 [7月29日 16:24:45 2012 GMT];以后 [7月29日 16:24:45 2013 GMT];)
7月31日 18:24:31 pan_ocsp_parse_response (pan_crl: 1187): 应答器错误: 未授权 (6)
7月31日 18:24:31错误: pan_ocsp_parse_response (pan_crl: 1262): [ocsp] 证书状态查询的结果对于序列号 [6128D58D000000000004] 和 uri [http://labsrv1.stealthllama.local/ocsp] 不可用
7月31日 18:24:31错误: pan_ocsp_fetch_ocsp (pan_crl: 1948): pan_ocsp_parse_response () 失败
7月31日 18:24:31 sslmgr_check_status (sslmgr_main: 671): [OCSP] 证书状态不可用: depth:0
解决办法
在 MicroSoft OCSP 响应程序中启用该扩展。微软的轻量级 OCSP 配置文件在默认情况下不支持随机扩展。但是, 可以通过修改吊销配置扩展来启用它。
所有者: dwhyte