Palo Alto Networks unterstützt das Format für Zertifikatswiderrufsliste (CRL)
Palo Alto Networks unterstützt das Format für Zertifikatswiderrufsliste (CRL)
16701
Created On 09/26/18 13:49 PM - Last Modified 06/08/23 00:50 AM
Resolution
Details
Wenn ein Kunde ein Client-Zertifikats Profil erstellt und "CRL verwenden" ermöglicht, sollten die CRL-Dateien in einem ausgezeichneten Kodierungsregeln (der)-Format sein:
Verwenden Sie den folgenden CLI-Befehl, um zu überprüfen, ob CRL aktiviert ist:
> Systemeinstellung SSL-entschlüsselt setzen Vsys: vsys1 Forward Proxy Ready: Ja Inbound Proxy Ready: Ja Deaktivieren SSL: keine Deaktivieren SSL-Entschlüsselung: kein informierter Benutzer : kein Proxy für URL: kein warten auf URL: kein Block widerrufen CERT: Ja Block Timeout CERT: kein Block unbekannter CERT: keine CERT-Status Abfrage Timeout: 5 URL- Kategorie Abfrage Timeout : 5 verwenden Sie CERT-Cache: Ja verifizieren CRL : Ja verifizieren OCSP: kein CRL-Status erhalten Timeout: 5 OCSP-Status erhalten Timeout: 5 </C3 4 >
Wenn Verify CRL als "Nein" angezeigt wird, kann es mit den folgenden CLI-Befehlen aktiviert werden:
> Konfiguration # Set DeviceConfig Einstellung SSL-Entschlüsselung CRL ja # Commit
Weitere Informationen zu Debug-Befehlen
Debug aktivieren:
> Debug sslmgr auf Debug
Hinweis: führen Sie den Debug-Modus für 3 bis 4 Stunden aus, um mindestens ein paar "Next Update"-Zeiträume für das betreffende CRL abzudecken und die Tech-Support-Datei zu sammeln.
Sammeln Sie die Datei jede Hälfte der "nächsten Aktualisierung" Zeitspanne: