使用 OCSP 控制 GlobalProtect VPN 访问
Resolution
概述
GlobalProtect 配置具有基于用户名/密码或证书对用户进行身份验证的能力。在使用证书进行连接时, 使用 OCSP 服务器检查证书的吊销状态是一个很有价值的好处, 以便在吊销证书时拒绝用户访问。此设置在用于顾问时是有益的, 因为它们允许访问某些项目一段时间, 而不是取消访问。
详细
帕洛阿尔托网络设备可以选择为这些类型的用户生成证书, 如果在设备上配置了 OCSP 响应程序, 则可以在需要时吊销访问权限。由于这种情况, 在帕洛阿尔托网络防火墙上需要一个 OCSP 响应程序。
要设置 ocsp 到, 设备 > 证书管理 >> OCSP 响应程序, 并单击添加。
输入 OCSP 响应程序的名称, 并将防火墙的 IP 地址用作主机名。
当 ocsp 响应程序配置并提交后, 现在就可以在防火墙上生成使用 OCSP 响应程序检查吊销状态的证书。要创建证书, 请转到设备 > 证书管理 > 证书, 然后单击 "生成"。创建新证书时, 一定要使用提交的 OCSP 响应程序。这允许从用户启动身份验证的连接, 并保存与 OCSP 服务器一起检查的证书。
要为 VPN 用户创建证书配置文件, 这将验证与 OCSP 的吊销状态, 请转到设备 > 证书管理 > 证书配置文件。
指定用户名的参数 (在本例中为主题)、签名证书的 CA 和 OCSP URL。
注意:确保启用 ocsp 的使用, CRL 也可以启用, 但要知道 ocsp 将具有优先权, 因为它比 CRL 更可靠.
在 GlobalProtect 门户配置中, 应根据客户端证书配置文件执行用户身份验证。
要安装程序转到网络 >> GlobalProtect > 门户网站, 单击 "添加" 并选择 "门户配置":
要对 GlobalProtect 网关执行相同的步骤, 请转到 "网络 > GlobalProtect", 单击 "添加" 并选择 "常规" 选项卡, 如下所示:
用户可以通过使用 OCSP 验证的证书登录。如果不再需要用户访问权限, 请吊销证书。
要吊销证书, 请转到设备 > 证书管理 > 证书并选择证书, 单击吊销按钮。
吊销后, 证书的状态将从绿色 "有效" 更改为红色 "已吊销", 如下面的示例所示:
在 CLI 中, 通过使用下面的命令检查颁发的特定 OCSP (或所有) 的证书的吊销状态:
>> 调试 sslmgr 查看 ocsp 所有
当前时间是: 星期四 4月3日 21:49:46 2014
计数序列号 (十六进制) 状态下次更新吊销时间原因颁发者名称哈希OCSP 响应程序 URL
---- ------------------ -------- ------------------------ ------------------------ ----------- -----------------------
[1] 10 被撤销的 4月04日 21:41:39 2014 GMT 4月03日 21:44:54 2014 GMT 7ccb1b43 http://10.193.17.2/CA/ocsp
[2] 0D 有效 4月03日 22:41:39 2014 GM df89db2d http://10.193.17.2/CA/ocsp
当用户尝试使用吊销的证书登录时, 防火墙将检查 OCSP 并拒绝访问。
这可以由 sslmgr.log 验证, 请参见下面的示例:
2014-04-03 23:47:41.537 +0200 调试: sslmgr_check_status (sslmgr_main: 655): [0] 开始检查 OCSP, 证书链状态, num: 3;未知块: 否;来自 DP: 是
2014-04-03 23:47:41.537 +0200 [OCSP] URL http://10.193.17.2/CA/ocsp serialno: 0D
2014-04-03 23:47:41.538 +0200 [OCSP] URL http://10.193.17.2/CA/ocsp serialno:10
2014-04-03 23:47:41.538 +0200 调试: pan_ocsp_fetch_ocsp (pan_crl c: 1996): [0] ocsp 检查..。深度 2, URI: (null)
2014-04-03 23:47:41.538 +0200 调试: pan_ocsp_fetch_ocsp (pan_crl: 2000): [0] 没有 AIA URL, 跳过检查 ocsp 为深度2。
2014-04-03 23:47:41.538 +0200 调试: pan_ocsp_fetch_ocsp (pan_crl c: 1996): [0] ocsp 检查..。深度 1, URI: http://10.193.17.2/CA/ocsp
2014-04-03 23:47:41.538 +0200 调试: pan_ocsp_fetch_ocsp (pan_crl: 2045): [0] ocsp 检查结果对每个缓存的级别 1 "有效"
2014-04-03 23:47:41.538 +0200 调试: pan_ocsp_fetch_ocsp (pan_crl c: 1996): [0] ocsp 检查..。深度 0, URI: http://10.193.17.2/CA/ocsp
2014-04-03 23:47:41.538 +0200 调试: pan_ocsp_fetch_ocsp (pan_crl: 2045): [0] ocsp 检查结果被 "吊销" 为每缓存级别0
2014-04-03 23:47:41.538 +0200 调试: sslmgr_check_status (sslmgr_main: 709): [0] OCSP 检查结果被 "吊销", 深度0
2014-04-03 23:47:41.539 +0200 调试: sslmgr_check_status (sslmgr_main: 915): [0] 最后状态: 被撤销;原因:;深度: 0;由 OCSP
2014-04-03 23:47:41.539 +0200 发送 cookie:5 session:0 status:4 到 DP
所有者: ialeksov