控制 LSVPN 卫星与 OCSP 的连接
Resolution
概述
LSVPN 实现允许管理员快速将 VPN 站点连接到主站点。实现依赖于证书的使用, 以便对门户进行身份验证, 从而允许管理员控制谁将被允许访问 VPN 网络, 如果需要紧急操作, 可以拒绝谁。
详细
要实现完全控制, 需要在帕洛阿尔托网络防火墙上有一个证书颁发机构 (CA), 而 OCSP 响应程序将使用该 CA 生成的证书。该过程与控制 GlobalProtect 远程访问 VPN 连接非常相似, 并且类似的原则是有效的, 应该遵循类似的步骤。
注:有关详细信息, 请参阅以下链接:使用 OCSP 控制 GlobalProtect VPN 访问
- 在防火墙中创建 CA
- 创建本地 OCSP 响应程序
- 创建一个证书配置文件, 该模板将用于使用给定的 OCSP 检查证书的状态。
- 创建由 CA 签名的证书, 并包括要检查其吊销状态的 OCSP 响应程序
- 验证在卫星连接到 GlobalProtect 时是否生成了正确信息的证书 (这应该包括正确的颁发者)
- 验证卫星是否可以连接到 VPN 网络
- 如果需要, 吊销卫星证书, 以便立即从可以连接到 VPN 网络的设备中删除该卫星。
步骤
在防火墙上放置 CA 和 OSCP 响应程序后, 创建一个证书配置文件。
注:有关以下内容的详细信息, 请参考下面的链接:如何配置 OCSP 响应程序
- 要为 LSVPN 卫星创建证书配置文件, 它将通过创建的 OCSP 验证吊销状态, 请转到设备 > 证书管理 > 证书配置文件。
- 转到设备 > 证书管理 > 证书, 然后单击 "生成" 以创建将用于签署附属证书的证书。
创建证书时, 请确保使用以前创建的 OCSP 响应程序。如果这是中介证书, 请确保选择在卫星上受信任的根 CA。如果该根在卫星上不受信任, 或者这是当前正在创建的根证书, 请确保从该防火墙导出证书并将其导入到卫星防火墙上。 - 在这个时候, LSVPN 的配置需要完成。请参考大型 VPN (阀) 部署指南以完成配置.
在配置安装程序时, 请确保使用以前创建的相应证书和证书配置文件。
在 GlobalProtect 门户下的附属配置中包括受信任的根 CA 和 OCSP 响应程序, 以便检查证书的吊销状态。
使用服务器证书和 GlobalProtect 网关的证书配置文件, 如下所示: - 完整的 LSVPN 配置完成后, 验证连接是否从卫星建立到 GlobalProtect。
检查网络标签下的连接 >> GlobalProtect > 门户 > 信息 > 点击卫星信息: - 转到网络 >> GlobalProtect > 网关 >> 在信息 >> 点击卫星信息, 以访问有关连接到所需网关的细节:
用于此进程的证书实际上是为卫星创建的, 从已被在前面的步骤中指定. 默认情况下, 这些证书的有效期为7天。
如下所示, 请参阅设备 > 证书管理 > 证书颁发的证书:
打开证书时, 可以选择吊销证书.
一旦单击 "吊销" 按钮, 该证书就不再有效, 并且门户不应接受以建立与 VPN 网络的连接:
状态立即更改为 "已吊销":
从这一点上说, 从该卫星的连接将由于具有无效证书的身份验证而被丢弃. 这可以在系统日志中查看, 如下所示:
在门户的 sslmgr.log 中, 请参阅执行证书检查并吊销已使用的证书。运行以下操作命令以实现此目的:
>> 少 mp 日志 sslmgr.log
6月16日 00:51:58 pan_store_portal_cfg_assigned (pan_store_satellite_info: 1854): 查找指定的 serialno 0006C107270
6月16日 00:51:58 pan_store_satellite_info_response_print (pan_store_satellite_info: 106): {卫星信息成功; vsys id (1); vsys 名称 (vsys1); 门户名称 (GP 门户);
serialno (0006C107270);主机名 (想法-PA-01);配置 (LSVPN_Satelites);引脚 (静态);派生自 ();最后看见的 ip (10.193.16.27);}
6月16日 00:51:58 pan_store_certificate_info_find_expired_cert (pan_store_certificate_info: 964): 证书 (539DAE57002715) 被吊销, 不清理
6月16日 00:51:58 pan_store_certificate_info_find_expired_cert (pan_store_certificate_info: 973): 证书到期日 (6月22日 22:51:01 2014 GMT)
6月16日 00:51:58 pan_store_certificate_info_find_expired_cert (pan_store_certificate_info: 979): 当前日期 (6月15日 22:51:58 2014 GMT)
6月16日 00:51:58 pan_store_certificate_info_find_expired_cert (pan_store_certificate_info: 981): expdate (140622225101 z) curdate (140615225158 z)
6月16日 00:51:58 pan_store_certificate_info_find_expired_cert (pan_store_certificate_info: 984): exp 日期 (3183271629) curwarmingdate (3176271686)
6月16日 00:51:58 pan_store_is_cert_expired (pan_store_certificate_info:70): 证书到期日 (6月22日 22:51:01 2014 GMT) (140622225101 z)
6月16日 00:51:58 pan_store_is_cert_expired (pan_store_certificate_info:77): 当前日期加上变暖天 (6月18日 22:51:58 2014 GMT) (140618225158 z)
6月16日 00:51:58 sslmgr_sysd_store_cert_gen (sslmgr_sysd: 469): 证书仍然有效
6月16日 00:51:58 pan_store_satellite_info_request_print (pan_store_satellite_info:75): {卫星信息发现; vsys id (1); vsys 名称 (vsys1); 门户名称 (GP 门户); seria
lno (0006C107270);主机名 ();配置 ();针 ();派生自 ();最后一次看到的 ip ();}
6月16日 00:51:58 pan_store_portal_cfg_assigned (pan_store_satellite_info: 1854): 查找指定的 serialno 0006C107270
6月16日 00:51:58 pan_store_satellite_info_response_print (pan_store_satellite_info: 106): {卫星信息成功; vsys id (1); vsys 名称 (vsys1); 门户名称 (GP 门户);
serialno (0006C107270);主机名 (想法-PA-01);配置 (LSVPN_Satelites);引脚 (静态);派生自 ();最后看见的 ip (10.193.16.27);}
6月16日 00:52:14 [OCSP] URL (null) serialno: 539E235500032C
6月16日 00:52:14发送 cookie:4 session:0 status:2 到 DP
吊销后, 无法再建立连接:
>> 显示全球保护网关电流-卫星
GlobalProtect 网关: GP-GW-1 (0 颗卫星)
隧道名称: GP-GW-1-S
GlobalProtect 网关: GP-GW-1-Backup (0 颗卫星)
隧道名称: GP-GW-1-Backup-S
>> 显示全球保护网关上一颗卫星
GlobalProtect 网关: GP-GW-1 (0 颗卫星)
隧道名称: GP-GW-1-S
GlobalProtect 网关: GP-GW-1-Backup (0 颗卫星)
隧道名称: GP-GW-1-Backup-S
卫星: 0006C107270
卫星主机名: IDEA-PA-01
专用 IP: 10.200.2。1
公共 IP: 10.193.16.27
卫星隧道 ip:
登录时间: 6月15日23:51:33
注销时间: 6月16日00:51:34
原因: 隧道寿命已过期
卫星发布路线: 172.18.1. 0/24
拒绝卫星路由:
卫星重复路由:
已启用隧道监视器: 是
隧道监视器间隔: 3 秒
隧道监视器操作: 故障转移
隧道监视器阈值: 5 次尝试
隧道监控源: 10.193.21.98
隧道监视器目标: 10.200.2。1
隧道监视器状态: 无可用数据
卫星可以从 GlobalProtect 门户卫星配置中永久删除。这意味着门户不必尝试验证证书。
要配置, 请转到网络 >> GlobalProtect >> 门户 > 卫星配置, 选择卫星, 并从列表中删除它:
所有者: ialeksov