控制 LSVPN 卫星与 OCSP 的连接

控制 LSVPN 卫星与 OCSP 的连接

19719
Created On 09/26/18 13:47 PM - Last Modified 04/20/20 23:38 PM


Resolution


概述

LSVPN 实现允许管理员快速将 VPN 站点连接到主站点。实现依赖于证书的使用, 以便对门户进行身份验证, 从而允许管理员控制谁将被允许访问 VPN 网络, 如果需要紧急操作, 可以拒绝谁。

详细

要实现完全控制, 需要在帕洛阿尔托网络防火墙上有一个证书颁发机构 (CA), 而 OCSP 响应程序将使用该 CA 生成的证书。该过程与控制 GlobalProtect 远程访问 VPN 连接非常相似, 并且类似的原则是有效的, 应该遵循类似的步骤。

注:有关详细信息, 请参阅以下链接:使用 OCSP 控制 GlobalProtect VPN 访问

  1. 在防火墙中创建 CA
  2. 创建本地 OCSP 响应程序
  3. 创建一个证书配置文件, 该模板将用于使用给定的 OCSP 检查证书的状态。
  4. 创建由 CA 签名的证书, 并包括要检查其吊销状态的 OCSP 响应程序
  5. 验证在卫星连接到 GlobalProtect 时是否生成了正确信息的证书 (这应该包括正确的颁发者)
  6. 验证卫星是否可以连接到 VPN 网络
  7. 如果需要, 吊销卫星证书, 以便立即从可以连接到 VPN 网络的设备中删除该卫星。

步骤

在防火墙上放置 CA 和 OSCP 响应程序后, 创建一个证书配置文件。

注:有关以下内容的详细信息, 请参考下面的链接:如何配置 OCSP 响应程序

  1. 要为 LSVPN 卫星创建证书配置文件, 它将通过创建的 OCSP 验证吊销状态, 请转到设备 > 证书管理 > 证书配置文件。屏幕截图2014-06-16 在 12.34.04. png
  2. 转到设备 > 证书管理 > 证书, 然后单击 "生成" 以创建将用于签署附属证书的证书。
    创建证书时, 请确保使用以前创建的 OCSP 响应程序。如果这是中介证书, 请确保选择在卫星上受信任的根 CA。如果该根在卫星上不受信任, 或者这是当前正在创建的根证书, 请确保从该防火墙导出证书并将其导入到卫星防火墙上。
    屏幕截图2014-06-28 在 1.49.21 PM. png
  3. 在这个时候, LSVPN 的配置需要完成。请参考大型 VPN (阀) 部署指南以完成配置.
    在配置安装程序时, 请确保使用以前创建的相应证书和证书配置文件。
    在 GlobalProtect 门户下的附属配置中包括受信任的根 CA 和 OCSP 响应程序, 以便检查证书的吊销状态。
    使用服务器证书和 GlobalProtect 网关的证书配置文件, 如下所示:
    屏幕截图2014-06-16 在 12.37.02. png
  4. 完整的 LSVPN 配置完成后, 验证连接是否从卫星建立到 GlobalProtect。
    检查网络标签下的连接 >> GlobalProtect > 门户 > 信息 > 点击卫星信息:
    屏幕截图2014-06-16 在 12.38.48. png
  5. 转到网络 >> GlobalProtect > 网关 >> 在信息 >> 点击卫星信息, 以访问有关连接到所需网关的细节:
    屏幕截图2014-06-16 在 12.39.16. png
    用于此进程的证书实际上是为卫星创建的, 从已被在前面的步骤中指定. 默认情况下, 这些证书的有效期为7天。

    如下所示, 请参阅设备 > 证书管理 > 证书颁发的证书:
    屏幕截图2014-06-16 在 12.32.33. png
    打开证书时, 可以选择吊销证书.
    屏幕截图2014-06-16 在 12.40.26. png
    一旦单击 "吊销" 按钮, 该证书就不再有效, 并且门户不应接受以建立与 VPN 网络的连接:
    屏幕截图2014-06-16 在 12.40.39. png
    状态立即更改为 "已吊销":
    屏幕截图2014-06-16 在 12.40.53. png
    从这一点上说, 从该卫星的连接将由于具有无效证书的身份验证而被丢弃. 这可以在系统日志中查看, 如下所示:屏幕截图2014-06-16 在 1.03.35. png

在门户的 sslmgr.log 中, 请参阅执行证书检查并吊销已使用的证书。运行以下操作命令以实现此目的:

>> 少 mp 日志 sslmgr.log

6月16日 00:51:58 pan_store_portal_cfg_assigned (pan_store_satellite_info: 1854): 查找指定的 serialno 0006C107270

6月16日 00:51:58 pan_store_satellite_info_response_print (pan_store_satellite_info: 106): {卫星信息成功; vsys id (1); vsys 名称 (vsys1); 门户名称 (GP 门户);

serialno (0006C107270);主机名 (想法-PA-01);配置 (LSVPN_Satelites);引脚 (静态);派生自 ();最后看见的 ip (10.193.16.27);}

6月16日 00:51:58 pan_store_certificate_info_find_expired_cert (pan_store_certificate_info: 964): 证书 (539DAE57002715) 被吊销, 不清理

6月16日 00:51:58 pan_store_certificate_info_find_expired_cert (pan_store_certificate_info: 973): 证书到期日 (6月22日 22:51:01 2014 GMT)

6月16日 00:51:58 pan_store_certificate_info_find_expired_cert (pan_store_certificate_info: 979): 当前日期 (6月15日 22:51:58 2014 GMT)

6月16日 00:51:58 pan_store_certificate_info_find_expired_cert (pan_store_certificate_info: 981): expdate (140622225101 z) curdate (140615225158 z)

6月16日 00:51:58 pan_store_certificate_info_find_expired_cert (pan_store_certificate_info: 984): exp 日期 (3183271629) curwarmingdate (3176271686)

6月16日 00:51:58 pan_store_is_cert_expired (pan_store_certificate_info:70): 证书到期日 (6月22日 22:51:01 2014 GMT) (140622225101 z)

6月16日 00:51:58 pan_store_is_cert_expired (pan_store_certificate_info:77): 当前日期加上变暖天 (6月18日 22:51:58 2014 GMT) (140618225158 z)

6月16日 00:51:58 sslmgr_sysd_store_cert_gen (sslmgr_sysd: 469): 证书仍然有效

6月16日 00:51:58 pan_store_satellite_info_request_print (pan_store_satellite_info:75): {卫星信息发现; vsys id (1); vsys 名称 (vsys1); 门户名称 (GP 门户); seria

lno (0006C107270);主机名 ();配置 ();针 ();派生自 ();最后一次看到的 ip ();}

6月16日 00:51:58 pan_store_portal_cfg_assigned (pan_store_satellite_info: 1854): 查找指定的 serialno 0006C107270

6月16日 00:51:58 pan_store_satellite_info_response_print (pan_store_satellite_info: 106): {卫星信息成功; vsys id (1); vsys 名称 (vsys1); 门户名称 (GP 门户);

serialno (0006C107270);主机名 (想法-PA-01);配置 (LSVPN_Satelites);引脚 (静态);派生自 ();最后看见的 ip (10.193.16.27);}

6月16日 00:52:14 [OCSP] URL (null) serialno: 539E235500032C

6月16日 00:52:14发送 cookie:4 session:0 status:2 到 DP

吊销后, 无法再建立连接:

>> 显示全球保护网关电流-卫星

GlobalProtect 网关: GP-GW-1 (0 颗卫星)

隧道名称: GP-GW-1-S

GlobalProtect 网关: GP-GW-1-Backup (0 颗卫星)

隧道名称: GP-GW-1-Backup-S

>> 显示全球保护网关上一颗卫星

GlobalProtect 网关: GP-GW-1 (0 颗卫星)

隧道名称: GP-GW-1-S

GlobalProtect 网关: GP-GW-1-Backup (0 颗卫星)

隧道名称: GP-GW-1-Backup-S

        卫星: 0006C107270

        卫星主机名: IDEA-PA-01

        专用 IP: 10.200.2。1

        公共 IP: 10.193.16.27

        卫星隧道 ip:

        登录时间: 6月15日23:51:33

        注销时间: 6月16日00:51:34

        原因: 隧道寿命已过期

        卫星发布路线: 172.18.1. 0/24

        拒绝卫星路由:

        卫星重复路由:

        已启用隧道监视器: 是

        隧道监视器间隔: 3 秒

        隧道监视器操作: 故障转移

        隧道监视器阈值: 5 次尝试

        隧道监控源: 10.193.21.98

        隧道监视器目标: 10.200.2。1

        隧道监视器状态: 无可用数据

卫星可以从 GlobalProtect 门户卫星配置中永久删除。这意味着门户不必尝试验证证书。

要配置, 请转到网络 >> GlobalProtect >> 门户 > 卫星配置, 选择卫星, 并从列表中删除它:

屏幕截图2014-06-28 在 2.54.42 PM. png

所有者: ialeksov
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClosCAC&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language