Contrôle de L'Accès VPN GlobalProtect avec OCSP

Vue d’ensemble

La configuration GlobalProtect a la capacité d'authentifier les utilisateurs en fonction du nom d'utilisateur/mot de passe ou des certificats. Lors de L'utilisation de certificats pour se connecter, il est utile d'utiliser un serveur OCSP pour vérifier l'état de révocation du certificat, afin que les utilisateurs se voient refuser l'accès si le certificat est révoqué. Cette configuration est bénéfique Lorsqu'il est utilisé pour les consultants, car ils sont autorisés à accéder à certains projets pour une période de temps et que l'accès est révoqué.

Détails

Les périphériques de Palo Alto Networks ont la possibilité de générer des certificats pour ces types d'utilisateurs, et si le répondeur OCSP est configuré sur le périphérique, il permet à la capacité de révoquer l'accès, si nécessaire. En raison de ce scénario, un répondeur OCSP est nécessaire sur le pare-feu de Palo Alto Networks.

Pour configurer le OCSP aller à, Device > Certificate Management > répondeur OCSP et cliquez sur Ajouter.

Entrez un nom pour le répondeur OCSP et utilisez l'adresse IP du pare-feu comme nom d'hôte.

Dès que le répondeur OCSP est configuré et validé, il est désormais possible de générer des certificats sur le pare-feu qui utilisent le répondeur OCSP pour vérifier l'état de révocation. Pour créer des certificats, accédez à Device > Management de certificats > certificats et cliquez sur générer. Lors de la création de nouveaux certificats, assurez-vous d'utiliser le répondeur OCSP qui est archivé. Cela permet aux connexions authentifiées initialisées par l'utilisateur et contient les certificats qui sont vérifiés avec le serveur OCSP.

Pour créer un profil de certificat pour les utilisateurs VPN, qui vérifiera l'état de révocation avec le OCSP, accédez au profil de certificat de Device > Management.

Spécifiez les paramètres du nom d'utilisateur (dans ce cas, l'objet), l'Autorité de certification qui signe les certificats et l'URL OCSP.

Remarque: Assurez -vous d'activer L'utilisation de OCSP, CRL peut également être activé, mais sachez que le OCSP aura priorité, car il est plus fiable que la CRL.

Dans la configuration du portail GlobalProtect, l'authentification de l'utilisateur doit être effectuée en fonction du profil de certificat client.

Pour configurer allez sur le réseau > GlobalProtect > portails, cliquez sur Ajouter et sélectionnez Configuration du portail:

Pour effectuer les mêmes étapes pour la passerelle GlobalProtect, accédez au réseau > GlobalProtect, cliquez sur Ajouter et sélectionnez l'onglet général comme indiqué ci-dessous:

Les utilisateurs peuvent se connecter à l'Aide de certificats, qui sont validés à l'Aide du protocole OCSP. Si l'accès pour l'utilisateur n'est plus nécessaire, révoquez le certificat.

Pour révoquer le certificat, accédez à Device > Certificate Management > certificats et sélectionnez le certificat, cliquez sur le bouton révoquer.

Après la révocation, l'état du certificat va passer de vert "valide" à rouge "révoqué" comme indiqué dans L'exemple ci-dessous:

À partir de l'INTERFACE CLI, vérifiez l'état de révocation du certificat émis pour le OCSP spécifique (ou pour tous) à l'Aide de la commande ci-dessous:

> Debug sslmgr View OCSP All

L'heure actuelle est: Thu Apr 3 21:49:46 2014

Numéro de série Count (hex) État prochaine mise à jour révocation heure raison de l'émetteur nom hashOCSP répondeur URL          

----  ------------------ --------    ------------------------  ------------------------  -----------  -----------------------

[1] 10 révoquée Apr 04 21:41:39 2014 GMT apr 03 21:44:54 2014 GMT 7ccb1b43 http://10.193.17.2/ca/OCSP

[2] 0D valide apr 03 22:41:39 2014 GM df89db2d http://10.193.17.2/ca/OCSP

Lorsqu'un utilisateur tente de se connecter avec un certificat révoqué, le pare-feu vérifie avec le OCSP et refuse l'accès.

Cela peut être vérifié par le sslmgr. log, voir les exemples ci-dessous:

2014-04-03 23:47:41.537 + 0200 Debug: sslmgr_check_status (sslmgr_main. c:655): [0] démarrer la vérification OCSP, état de la chaîne de certificats, num: 3; Block inconnu: non; de DP: Oui

2014-04-03 23:47:41.537 + 0200 [OCSP] URL http://10.193.17.2/ca/OCSP SERIALNO: 0d

2014-04-03 23:47:41.538 + 0200 [OCSP] URL http://10.193.17.2/ca/OCSP serialno: 10

2014-04-03 23:47:41.538 + 0200 Debug: pan_ocsp_fetch_ocsp (pan_crl. c:1996): [0] contrôle OCSP... Depth 2, URI: (null)

2014-04-03 23:47:41.538 + 0200 Debug: pan_ocsp_fetch_ocsp (pan_crl. c:2000): [0] aucune URL AIA, ignorer la vérification OCSP pour la profondeur 2.

2014-04-03 23:47:41.538 + 0200 Debug: pan_ocsp_fetch_ocsp (pan_crl. c:1996): [0] contrôle OCSP... profondeur 1, URI: http://10.193.17.2/ca/OCSP

2014-04-03 23:47:41.538 + 0200 Debug: pan_ocsp_fetch_ocsp (pan_crl. c:2045): [0] le résultat du contrôle OCSP est'valide'pour le niveau 1 par cache

2014-04-03 23:47:41.538 + 0200 Debug: pan_ocsp_fetch_ocsp (pan_crl. c:1996): [0] contrôle OCSP... profondeur 0, URI: http://10.193.17.2/ca/OCSP

2014-04-03 23:47:41.538 + 0200 Debug: pan_ocsp_fetch_ocsp (pan_crl. c:2045): [0] le résultat de contrôle OCSP est'révoqué'pour le niveau 0 par cache

2014-04-03 23:47:41.538 + 0200 Debug: sslmgr_check_status (sslmgr_main. c:709): [0] le résultat de contrôle OCSP est'révoqué', profondeur 0

2014-04-03 23:47:41.539 + 0200 Debug: sslmgr_check_status (sslmgr_main. c:915): [0] statut final: révoqué; raison:; profondeur: 0; PAR OCSP

2014-04-03 23:47:41.539 + 0200 envoyer cookie: 5 session: 0 État: 4 à DP

propriétaire : ialeksov