Palo Alto Networks unterstützt das Format für Zertifikatswiderrufsliste (CRL)
16701
Created On 09/26/18 13:49 PM - Last Modified 06/08/23 00:50 AM
Resolution
Details
Wenn ein Kunde ein Client-Zertifikats Profil erstellt und "CRL verwenden" ermöglicht, sollten die CRL-Dateien in einem ausgezeichneten Kodierungsregeln (der)-Format sein:
Verwenden Sie den folgenden CLI-Befehl, um zu überprüfen, ob CRL aktiviert ist:
> Systemeinstellung SSL-entschlüsselt setzen
Vsys: vsys1
Forward Proxy Ready: Ja
Inbound Proxy Ready: Ja
Deaktivieren SSL: keine
Deaktivieren SSL-Entschlüsselung: kein informierter
Benutzer : kein
Proxy für URL: kein
warten auf URL: kein
Block widerrufen CERT: Ja
Block Timeout CERT: kein
Block unbekannter CERT: keine
CERT-Status Abfrage Timeout: 5 URL-
Kategorie Abfrage Timeout : 5
verwenden Sie CERT-Cache: Ja
verifizieren CRL : Ja
verifizieren OCSP: kein
CRL-Status erhalten Timeout: 5
OCSP-Status erhalten Timeout: 5 </C3 4 >
Wenn Verify CRL als "Nein" angezeigt wird, kann es mit den folgenden CLI-Befehlen aktiviert werden:
> Konfiguration
# Set DeviceConfig Einstellung SSL-Entschlüsselung CRL ja
# Commit
Weitere Informationen zu Debug-Befehlen
- Debug aktivieren:
> Debug sslmgr auf DebugHinweis: führen Sie den Debug-Modus für 3 bis 4 Stunden aus, um mindestens ein paar "Next Update"-Zeiträume für das betreffende CRL abzudecken und die Tech-Support-Datei zu sammeln.
- Sammeln Sie die Datei jede Hälfte der "nächsten Aktualisierung" Zeitspanne:
> Zeituhr
> Debug sslmgr Statistik
> Debug sslmgr tar-all-CRL
> Debug sslmgr View CRL <value></value>
- Debug deaktivieren:
> Debug sslmgr on Info
- Löschen Sie den CRL-Cache auf der CP und DP:
> Debug sslmgr löschen CRL alle
> Debug dataplane Reset SSL-entschlüsselt Zertifikat-Cache
Weitere Informationen finden Sie im OpenSSL Online-Handbuch : http://www.openssl.org/docs/apps/CRL.html
Besitzer: Kkondo